Een groep hacktivisten die zichzelf het "Iraanse cyberleger" noemt en eerst nog allerlei websites bekladde, houdt zich nu bezig met het creëren en verhuren van botnets. Vorig jaar december wist de bende de websites van Twitter en Chinese zoekmachine Baidu te bekladden. Daarop verschenen berichten over het Westerse embargo tegen Iran. In september van dit jaar werd het populaire techblog TechCrunch gehackt en voorzien van drive-by download malware. Tijdens het onderzoek ontdekte beveiligingsbedrijf Seculert dat er een verband tussen deze en andere aanvallen en het Iraanse cyberleger was.

De aanvallers gebruikten een exploitkit met verschillende exploits voor het infecteren van ongepatchte internetgebruikers. De exploitkit had een zeer eenvoudige user interface, wat Seculert doet vermoeden dat het door één groep werd ontwikkeld en gebruikt. Bij het beheerderspaneel vonden onderzoekers het adres Iranian.cyber.army@gmail.com, dat eerder op de bekladde websites was aangetroffen.

Botnet
Volgens de statistiekenpagina zouden inmiddels 400.000 machines besmet zijn. De teller zou echter om de zoveel tijd worden gereset, waardoor het werkelijke aantal infecties mogelijk veel hoger ligt. Seculert zag dat het aantal infecties rond de 14.000 per uur ligt. Aangezien de exploitkit al twee maanden actief is, komt men op een potentieel aantal infecties van 20 miljoen machines. Het beveiligingsbedrijf benadrukt dat het om een schatting gaat, maar weet wel dat delen van het botnet aan andere groepen worden verhuurd. Deze groepen installeren weer andere malware, waaronder Bredolab, Gozi en Zeus.

"Gebaseerd op de timing van deze aanvallen, vlak op de hielen van de Stuxnet-worm die het mogelijk op Iraanse faciliteiten had voorzien, is het redelijk om aan te nemen dat het Iraanse cyberleger besloten heeft om van defacements naar echte cybercrime-activiteiten over te stappen."