Eräs amerikkalaisen tietoverkkoturvayrityksen kanssa työskentelevä tietoverkko hakkeri kertoi löytävänsä "erittäin aktiivisen" iranilaisen verkkovakoiluryhmän, jonka laaja kohdeluettelo koostui lähinnä Lähi-idän suurista organisaatioista ja yrityksistä.
Verkkoturvayhtiö Symantec, Norton-virustorjuntaohjelmiston luoja, joka löysi kybervakoiluryhmän olemassaolon, kutsui sen nimellä "Leafminer". Turvayhtiön mukaan ryhmä on ollut aktiivinen vuoden 2017 alusta, mutta vasta vuonna 2018 se "tehosti toimintaansa merkittävästi" ja on tällä hetkellä mukana kymmenissä meneillään olevissa iskuissa.
Symantec kertoi keskiviikkona julkaistussa raportissa, että sen turvallisuusasiantuntijat onnistuivat saamaan näyttämään olevan Leafminerin tärkein kohdelista. Luettelo on kirjoitettu farsi kielellä ja sisältää hieman yli 800 organisaatiota, mikä Symantecin tutkijoiden mukaan on "kunnianhimoinen kohde" mille tahansa kybervakoiluryhmälle. Kohdelomakkeessa luetellut organisaatiot tulevat useilta toimialoilta, mukaan lukien hallinto, kuljetus, rahoitus, energia ja televiestintä. Mutta suurin osa ryhmän tavoitteista näyttää olevan petrokemian ja julkishallinnon aloilla. Lisäksi käytännössä kaikki Leafminerin linssit sijaitsevat Lähi-idässä ja Pohjois-Afrikassa sellaisissa maissa kuin Israel, Egypti, Bahrain, Qatar, Kuwait ja Yhdistyneet arabiemiirikunnat. Osa ryhmän kohteista sijaitsee Afganistanissa ja Azerbaidžanissa.
Symantecin mukaan tutkijat havaitsivat Leafminer-hakkereiden reaaliaikaisen hyökkäyksen vähintään 40 Lähi-idän kohteeseen, mukaan lukien Libanonin tiedustelupalvelun verkkosivusto. Kyberturvallisuusyrityksen mukaan Leafminer käyttää erilaisia hakkerointityökaluja, mukaan lukien räätälöidyt haittaohjelmat ja jotkut julkisesti saatavilla olevat ohjelmistot. Ryhmän operatiivinen hienostuneisuus on myös monipuolista, aina monimutkaisista monikerroksisista hyökkäyksistä raakojen joukkojen kirjautumisyrityksiin.
Symantecin mukaan johtopäätös on, että verkkovakoiluryhmä on kotoisin Iranista, koska sen pääkohdelista on kirjoitettu persiaksi ja koska Iran on käytännössä ainoa Lähi-idän maa, joka puuttuu kohdelistasta. Hän sanoi kuitenkin, ettei hänellä ollut tarpeeksi todisteita linkittääkseen Leafminerin Iranin hallitukseen. Erillisessä kehityksessä Saksan sisäinen tiedustelupalvelu, liittovaltion perustuslain suojeluvirasto (BfV), ilmoitti tällä viikolla vuosikertomuksessaan, että Iranin hallitus on laajentanut merkittävästi verkkotaistelutoimintojaan ja " on vaara saksalaisille yrityksille ja tutkimuslaitoksille. "