Charming Kitten APT
Charming Kitten, известен също като APT35 , е напреднала постоянна заплаха, хакерска група със съмнения за връзки с Иран. Групата е известна и под други имена: Phosphorus, Ajax Security Team и Newscaster Team. Наблюдавано е, че Charming Kitten има политически мотивирани кампании, но също и такива, мотивирани от финансови причини. Те са насочени към активисти за правата на човека, медийни организации и академичния сектор. По-голямата част от кампаниите им настояваха за атаки срещу Обединеното кралство, САЩ, Иран и Израел.
Съдържание
Кампании за очарователни котенца
Една от по-мащабните операции, предприети от хакерската група, беше извършена срещу HBO през 2017 г. Киберпрестъпниците изтекоха около терабайт данни с лична информация за служителите на компанията, предстоящи предавания и др. Други атаки, организирани от Charming Kitten, известен още като APT35, включват достъп до подробни данни чрез дезертьор от ВВС на САЩ и подправяне на уебсайта на израелска компания за киберсигурност, за да откраднат данни за вход. Атаката, която ги свърза с Иран, беше операция от 2018 г., насочена срещу политически активисти, която повлия на санкциите, насочени срещу страната. Оперативните служители на Charming Kitten използваха фишинг имейли със злонамерени прикачени файлове и социално инженерство, за да се представят за високопоставени професионалисти.
Иранският ъгъл за очарователно коте
Насочените фишинг кампании бяха част от начина, по който APT35 (Charming Kitten) правят бизнес, както можеше да се види от тяхната кампания от 2019 г., която имаше за цел да се представя за бивши журналисти от Wall Street Journal. Те използваха този подход, за да забият ноктите си в жертвите си с обещанието за интервюта или покани за уебинари, често по темите за иранските и международните въпроси по това време.
В един от тези случаи нападателите съставиха имейл на арабски под фалшивата самоличност, имитираща реалния Фарназ Фасихи, бивш служител на Wall Street Journal със 17 години работа за изданието. Оперативните служители на Charming Kitten представиха тази фалшива личност като все още работеща за WSJ.
Фалшива заявка за интервю. Източник: blog.certfa.com
Съдържанието на имейла беше следното:
Здравейте *** ***** ******
Казвам се Фарназ Фасихи. Аз съм журналист във вестник Wall Street Journal.
Екипът на Близкия изток на WSJ възнамерява да въведе успешни неместни лица в развитите страни. Вашите дейности в областта на изследванията и философията на науката ме накараха да ви представя като успешен иранец. Директорът на екипа за Близкия изток ни помоли да организираме интервю с вас и да споделим някои от вашите важни постижения с нашата публика. Това интервю може да мотивира младите хора на нашата любима страна да открият своите таланти и да вървят към успех.
Излишно е да казвам, че това интервю е голяма чест за мен лично и ви призовавам да приемете поканата ми за интервюто.
Въпросите са проектирани професионално от група мои колеги и полученото интервю ще бъде публикувано в раздела Седмично интервю на WSJ. Ще ви изпратя въпросите и изискванията на интервюто веднага щом приемете.
*Бележка под линия: Неместен се отнася за хора, които са родени в други страни.
Благодаря ви за любезността и вниманието.
Фарназ Фасихи
Връзките в имейлите бяха в кратък URL формат, често използван от участниците в заплахите, за да прикрият легитимни връзки зад тях, насочени към събиране на данни от IP адреси, версии на браузъра и ОС и др. Това помогна да се проправи пътя към по-нататъшни атаки чрез изграждане на доверие с многократна комуникация и подготовка за момента за действие.
След като доверието се установи с течение на времето, хакерите изпращат връзка, която съдържа предполагаемите въпроси за интервю. Компютърният екип за спешна реакция на фарси (CERTFA) показва, че нападателите са използвали метод, използван от фишъри през последните години, със страници, хоствани от Google Sites.
След като жертвата отвори връзката, тя може да бъде пренасочена към друга фалшива страница, която се опитва да запише техните идентификационни данни за влизане и двуфакторен код за удостоверяване чрез използване на фишинг комплект.
Резюме на операциите на очарователните котки
През 2015 г. първата вълна от фишинг атаки беше открита от изследователи, като по-късните шпионски операции в огромен мащаб бяха открити от 2016 до 2017 г. от изследователи от ClearSky. Операторите на Charming Kitten са използвали имитация, фишинг с копие и атаки за поливане.
През 2018 г. киберпрестъпниците от Charming Kitten преследваха ClearSky с измамнически уебсайт, представящ портала на охранителната компания. През същата година бяха идентифицирани повече атаки срещу цели в Близкия изток с фалшива имейл кампания и фалшиви уебсайтове.
През 2019 г. дейностите на Charming Kitten (APT35) се разшириха чрез насочване към не-иранци в САЩ, Близкия изток и Франция, с насочване към обществени личности извън академичните фенове, към които първоначално се стремяха. Те започнаха да прикачват тракер към кореспонденцията си по имейл, за да следват имейли, препратени до други акаунти, с намерение да получат данни за геолокация.
>>>Актуализация на 10 май 2020 г. - APT35 (Очарователно коте) участва в хакерската кампания за COVID-19
Набор от публично достъпни уеб архиви, прегледани от експерти по киберсигурност, разкриха, че иранската хакерска група, известна като Charming Kitten, наред с други имена, стои зад априлска кибератака срещу базираната в Gilead Sciences Inc Калифорния фармацевтична компания, участваща в изследванията на COVID-19.
В един от случаите, на които се натъкнаха изследователите по сигурността, хакерите са използвали фалшива страница за влизане по имейл, която е специално проектирана да краде пароли от висш изпълнителен директор на Gilead, участващ в корпоративни и правни въпроси. Атаката беше открита на уебсайт, който се използва за сканиране на уеб адреси за злонамерена дейност, но изследователите не успяха да определят дали е била успешна.
Един от анализаторите, които изследваха атаката, беше Охад Зайденберг от израелската фирма за киберсигурност ClearSky. Той коментира, че априлската атака срещу Gilead е опит за компрометиране на корпоративни имейл акаунти със съобщение, което се представя за журналистическо запитване. Други анализатори, които не бяха упълномощени да коментират публично, оттогава потвърдиха, че атаката е използвала домейни и сървъри, които преди са били използвани от иранската хакерска група, известна като Charming Kitten.
Диаграма на набиращите популярност APT хакерски групи – Източник: Securitystack.co
Дипломатическата мисия на Иран към ООН отрече каквото и да е участие в подобни атаки, като говорителят Алиреза Мирюсефи заяви, че „Иранското правителство не участва в кибервойна“, добавяйки „Кибердейностите, в които Иран участва, са чисто отбранителни и за защита срещу по-нататъшни атаки на Иранска инфраструктура“.
Gilead следва политиката на компанията за обсъждане на въпроси, свързани с киберсигурността, и отказа да коментира. Компанията получи много внимание напоследък, тъй като е производител на антивирусното лекарство ремдесивир, което в момента е единственото средство за лечение, което доказано помага на пациенти, заразени с COVID-19. Gilead също е една от компаниите, водещи изследванията и разработването на лечение за смъртоносната болест, което я прави основна цел за усилията за събиране на разузнавателна информация.
