Kotele simpatike APT
Kitten simpatike, i njohur gjithashtu si APT35 , është një kërcënim i avancuar i vazhdueshëm, një grup hakerash me lidhje të dyshuara iraniane. Grupi njihet edhe me emra të tjerë: Fosfor, Ekipi i Sigurisë së Ajaksit dhe Ekipi i Lajmeve. Kotele simpatike është vërejtur të ketë fushata të motivuara politikisht, por edhe të motivuara nga arsye financiare. Ata synojnë aktivistët e të drejtave të njeriut, organizatat mediatike dhe sektorin akademik. Shumica e fushatave të tyre po shtynin për sulme ndaj Mbretërisë së Bashkuar, Shteteve të Bashkuara, Iranit dhe Izraelit.
Tabela e Përmbajtjes
Fushata simpatike për kotele
Një nga operacionet më të gjera të ndërmarra nga grupi i hakerëve u krye kundër HBO në vitin 2017. Kriminelët kibernetikë zbuluan rreth një terabajt të dhënash me informacione personale për stafin e kompanisë, shfaqjet e ardhshme dhe më shumë. Sulme të tjera të organizuara nga Charming Kitten, i njohur ndryshe si APT35 përfshinin aksesin në të dhëna të detajuara përmes një dezertori të Forcave Ajrore të SHBA-së dhe mashtrimin e faqes së internetit të një kompanie izraelite të sigurisë kibernetike për të vjedhur detajet e hyrjes. Sulmi që i lidhi ata me Iranin ishte një operacion i vitit 2018 që synonte aktivistët politikë që ndikuan në sanksionet e synuara kundër vendit. Operativët simpatikë të Kitten përdorën email phishing me bashkëngjitje me qëllim të keq dhe inxhinieri sociale për t'u paraqitur si profesionistë të rangut të lartë.
Këndi iranian për kotele simpatike
Fushatat e synuara të phishing ishin pjesë e mënyrës se si APT35 (Kitten simpatike) bën biznes, siç mund të shihet me fushatën e tyre të vitit 2019 që synonte të imitonte ish-gazetarët e Wall Street Journal. Ata e përdorën atë qasje për të zhytur kthetrat e tyre në viktimat e tyre me premtimin e intervistave ose ftesave për webinare, shpesh mbi temat e çështjeve iraniane dhe ndërkombëtare në atë kohë.
Në një nga këto raste, sulmuesit shkruan një email në arabisht me identitet të rremë duke imituar Farnaz Fassihi të jetës reale, një ish-punonjës i Wall Street Journal me 17 vjet që punonte për botimin. Operativët Charming Kitten e paraqitën këtë personazh të rremë si ende duke punuar për WSJ.
Kërkesë e rreme për intervistë. Burimi: blog.certfa.com
Përmbajtja e emailit ishte si më poshtë:
Përshëndetje *** ***** ******
Unë quhem Farnaz Fasihi. Unë jam gazetar në gazetën Wall Street Journal.
Ekipi i Lindjes së Mesme të WSJ-së synon të prezantojë individë të suksesshëm jo vendas në vendet e zhvilluara. Aktivitetet tuaja në fushën e kërkimit dhe filozofisë së shkencës më shtynë t'ju prezantoj si një iranian i suksesshëm. Drejtori i ekipit të Lindjes së Mesme na kërkoi të organizojmë një intervistë me ju dhe të ndajmë disa nga arritjet tuaja të rëndësishme me audiencën tonë. Kjo intervistë mund të motivojë të rinjtë e vendit tonë të dashur për të zbuluar talentet e tyre dhe për të ecur drejt suksesit.
Eshtë e panevojshme të thuhet se kjo intervistë është një nder i madh për mua personalisht dhe ju bëj thirrje që ta pranoni ftesën time për intervistë.
Pyetjet janë hartuar në mënyrë profesionale nga një grup kolegësh të mi dhe intervista rezultuese do të publikohet në seksionin Intervistë javore të WSJ. Pyetjet dhe kërkesat e intervistës do t'ju dërgoj sapo të pranoni.
*Shënimi: Jo-lokale u referohet njerëzve që kanë lindur në vende të tjera.
Faleminderit për mirësinë dhe vëmendjen tuaj.
Farnaz Fasihi
Lidhjet brenda emaileve ishin në një format të shkurtër URL, shpesh të përdorur nga aktorët e kërcënimit për të maskuar lidhjet legjitime pas tyre, duke synuar mbledhjen e të dhënave të adresave IP, shfletuesit dhe versioneve të OS dhe më shumë. Kjo ndihmoi në hapjen e rrugës për sulme të mëtejshme duke ndërtuar besim me komunikim të përsëritur dhe duke u përgatitur për momentin për të vepruar.
Pasi të krijohet besimi me kalimin e kohës, hakerët dërgojnë një lidhje që përmban pyetjet e supozuara të intervistës. Mostrat e Ekipit të Reagimit të Emergjencave Kompjuterike në gjuhën Farsi (CERTFA) treguan se sulmuesit po përdornin një metodë të përdorur nga phishers vitet e fundit, me faqet e strehuara nga Google Sites.
Pasi viktima të hapë lidhjen, ajo mund të ridrejtohet në një faqe tjetër të rreme që përpiqet të regjistrojë kredencialet e saj të hyrjes dhe kodin e vërtetimit me dy faktorë përmes përdorimit të një komplete phishing.
Përmbledhje e operacioneve simpatike të kotele
Në vitin 2015, vala e parë e sulmeve të phishing u zbulua nga studiuesit, me operacione të mëvonshme spiunazhi në një shkallë masive që u zbuluan nga 2016 në 2017 nga studiuesit në ClearSky. Operatorët Charming Kitten përdorën imitim, phishing me shtiza dhe sulme me vrima lotimi.
Në vitin 2018, kriminelët kibernetikë Charming Kitten ndoqën ClearSky me një faqe interneti mashtruese që imitonte portalin e kompanisë së sigurisë. Më shumë sulme u identifikuan atë vit kundër objektivave të Lindjes së Mesme me një fushatë të rreme emaili dhe faqe interneti të rreme.
Në vitin 2019, aktivitetet Charming Kitten (APT35) u zgjeruan duke synuar jo-iranianët në SHBA, Lindjen e Mesme dhe Francë, me shënjestrimin e figurave publike jashtë djallit akademik që ata po shkonin fillimisht. Ata filluan të bashkëngjitnin një gjurmues në korrespondencën e tyre me email për të ndjekur emailet e dërguara në llogari të tjera, me qëllim marrjen e të dhënave të vendndodhjes.
>>>Përditësim më 10 maj 2020 - APT35 (Kotele simpatike) e përfshirë në fushatën e hakerëve për COVID-19
Një grup arkivash në internet të disponueshëm publikisht të rishikuara nga ekspertë të sigurisë kibernetike zbuluan se grupi i hakerëve iranian i njohur si Charming Kitten, ndër emrat e tjerë, qëndronte pas një sulmi kibernetik të prillit kundër kompanisë së drogës Gilead Sciences Inc me bazë në Kaliforni, e përfshirë në kërkimin për COVID-19.
Në një nga rastet që gjetën studiuesit e sigurisë, hakerët përdorën një faqe false të hyrjes me email që ishte krijuar posaçërisht për të vjedhur fjalëkalime nga një ekzekutiv i lartë i Gilead, i përfshirë në çështje korporative dhe ligjore. Sulmi u gjet në një faqe interneti që përdoret për të skanuar adresat e internetit për aktivitete me qëllim të keq, por studiuesit nuk ishin në gjendje të përcaktonin nëse ishte i suksesshëm.
Një nga analistët që hulumtoi sulmin ishte Ohad Zaidenberg nga firma izraelite e sigurisë kibernetike ClearSky. Ai komentoi se sulmi i prillit kundër Gilead ishte një përpjekje për të kompromentuar llogaritë e emailit të korporatave me një mesazh që imitonte një hetim gazetari. Analistë të tjerë, të cilët nuk ishin të autorizuar të komentonin publikisht, kanë konfirmuar që atëherë se sulmi përdorte domene dhe serverë që ishin përdorur më parë nga grupi i hakerëve iranian i njohur si Charming Kitten.
Grafiku i grupeve të hakerëve në tendencë APT - Burimi: Securitystack.co
Misioni diplomatik i Iranit në Kombet e Bashkuara ka mohuar çdo përfshirje në sulme të tilla, me zëdhënësin Alireza Miryousefi duke deklaruar se "Qeveria iraniane nuk angazhohet në luftë kibernetike", duke shtuar se "aktivitetet kibernetike në të cilat përfshihet Irani janë thjesht mbrojtëse dhe për të mbrojtur kundër sulmeve të mëtejshme ndaj Infrastruktura iraniane”.
Gilead ka ndjekur politikën e kompanisë për diskutimin e çështjeve të sigurisë kibernetike dhe ka refuzuar të komentojë. Kompania ka marrë shumë vëmendje kohët e fundit, pasi është prodhuesi i ilaçit antiviral remdesivir, i cili aktualisht është i vetmi trajtim i provuar për të ndihmuar pacientët e infektuar me COVID-19. Gilead është gjithashtu një nga kompanitë që udhëheq kërkimin dhe zhvillimin e një trajtimi për sëmundjen vdekjeprurëse, duke e bërë atë një objektiv kryesor për përpjekjet për mbledhjen e inteligjencës.