APT35

L'APT35 (Advanced Persistent Threat) és un grup de pirateria que es creu que prové de l'Iran. Aquest grup de pirateria també es coneix amb altres àlies: Newscaster Team, Phosphorus, Charming Kitten i Ajax Security Team. El grup de pirates informàtics APT35 sol participar tant en campanyes de motivació política com en campanyes de motivació econòmica. El grup de pirates informàtics APT35 tendeix a concentrar els seus esforços contra actors implicats en l'activisme dels drets humans, diverses organitzacions de mitjans i el sector acadèmic principalment. La majoria de campanyes es duen a terme als Estats Units, Israel, Iran i el Regne Unit.

Campanyes populars APT35

Una de les operacions de l'APT35 més notòries és la que es va dur a terme contra HBO l'any 2017. En ella, l'APT35 va filtrar més d'1 TB de dades, que consistien en dades personals i programes del personal, que encara estaven pendents d'emetre oficialment. Una altra campanya infame APT35 que els va posar al mapa és la que també va implicar un desertor de la Força Aèria dels EUA. La persona en qüestió va ajudar APT35 a accedir a dades governamentals classificades. El 2018, el grup APT35 va crear un lloc web que pretenia imitar una empresa legítima de ciberseguretat israeliana. L'única diferència era que el lloc web fals tenia un nom de domini lleugerament alterat. Aquesta campanya va ajudar a l'APT35 a obtenir les dades d'inici de sessió d'alguns dels clients de l'empresa. La darrera campanya infame de l'APT35 es va dur a terme el desembre de 2018. En aquesta operació, el grup APT35 va operar sota l'àlies de Charming Kitten. Aquesta operació es va dirigir a diversos activistes polítics que van influir en les sancions econòmiques, així com les sancions militars imposades a l'Iran en aquell moment. El grup APT35 es va plantejar com a professionals d'alt rang implicats en els mateixos àmbits que els seus objectius. Els atacants van utilitzar correus electrònics de pesca personalitzats amb fitxers adjunts falsos, així com perfils de xarxes socials falsos.

Phishing amb correus electrònics d'entrevistes falsos

Les campanyes de pesca dirigides formen part del modus operandi de Charming Kitten, amb els pirates informàtics que utilitzen correus electrònics falsos i enginyeria social com a mètodes d'execució. En una campanya del 2019, el grup Charming Kitten es va fer passar per antics periodistes del Wall Street Journal (WSJ) i es va acostar a les seves víctimes amb un escenari d'entrevista fals. El grup també s'ha vist utilitzant diferents escenaris, com ara ''CNN Interview'' i ''Invitation to a Deutsche Welle Webinar'', generalment al voltant de temes d'afers iranians i internacionals.

En un cas particular, els atacants van crear un correu electrònic fals en àrab, utilitzant la identitat de Farnaz Fassihi, actualment periodista del New York Times, que abans havia treballat per al Wall Street Journal durant 17 anys. Curiosament, els pirates informàtics van presentar a Farnaz Fassihi com a treballant per a la seva antiga empresa, The Wall Street Journal.

Correu electrònic de sol·licitud d'entrevista fals - Font: blog.certfa.com

Traducció de correu electrònic:

Hola *** ***** ******
Em dic Farnaz Fasihi. Sóc periodista del diari Wall Street Journal.
L'equip de l'Orient Mitjà del WSJ té la intenció d'introduir persones d'èxit no locals als països desenvolupats. Les teves activitats en els camps de la recerca i la filosofia de la ciència em van portar a presentar-te com un iranià d'èxit. El director de l'equip de l'Orient Mitjà ens va demanar que féssim una entrevista amb vosaltres i compartim alguns dels vostres èxits importants amb el nostre públic. Aquesta entrevista podria motivar els joves del nostre estimat país a descobrir els seus talents i avançar cap a l'èxit.
No cal dir que aquesta entrevista és un gran honor per a mi personalment, i us insto a acceptar la meva invitació per a l'entrevista.
Les preguntes estan dissenyades professionalment per un grup de companys i l'entrevista resultant es publicarà a la secció d'Entrevista Setmanal del WSJ. T'enviaré les preguntes i requisits de l'entrevista tan aviat com acceptis.
*Nota al peu: no local es refereix a persones nascudes a altres països.
Gràcies per la vostra amabilitat i atenció.
Farnaz Fasihi

Tots els enllaços continguts als correus electrònics estaven en format URL escurçat, que els pirates informàtics utilitzaven per guiar la seva víctima a adreces legítimes, alhora que recopilaven informació essencial sobre els seus dispositius, com ara el sistema operatiu, el navegador i l'adreça IP. Aquesta informació era necessària dels pirates informàtics per preparar l'atac principal als seus objectius.

Mostra de pàgina WSJ falsa allotjada a Google Sites - Font: blog.certfa.com

Després d'establir una confiança relativa amb l'objectiu previst, els pirates informàtics els enviarien un enllaç únic, que suposadament conté les preguntes de l'entrevista. Segons mostres provades per l'equip de resposta d'emergència informàtica en farsi (CERTFA), els atacants estan utilitzant un mètode relativament nou que ha guanyat molta popularitat entre els phishers durant l'últim any, allotjant pàgines a Google Sites.

Un cop la víctima faci clic al botó ''Descarrega'' a la pàgina del lloc de Google, es redirigirà a una altra pàgina falsa que intentarà obtenir les credencials d'inici de sessió per a la seva adreça de correu electrònic i el seu codi d'autenticació de dos factors, utilitzant kits de pesca com Modlishka.

Programari maliciós DownPaper d'APT35

L'eina DownPaper és un troià de porta posterior, que s'utilitza principalment com a càrrega útil de primera etapa i té les capacitats per:

• Establiu una connexió amb el servidor C&C (Command & Control) de l'atacant i rebeu ordres i càrregues útils perjudicials, que s'han d'executar a l'amfitrió infiltrat.
• Guanyeu persistència manipulant el Registre de Windows.
• Recolliu informació sobre el sistema compromès, com ara dades de maquinari i programari.
• Executeu ordres CMD i PowerShell.

El grup de pirateria APT35 és un grup d'individus molt persistent i és poc probable que tinguin previst aturar les seves activitats aviat. Tenint en compte que el clima polític al voltant de l'Iran s'està escalfant durant un temps, és probable que en el futur seguirem escoltant sobre les campanyes del grup APT35.

Actualització 10 de maig de 2020 - APT35 implicat en la campanya de pirateria COVID-19

Un conjunt d'arxius web disponibles públicament revisats per experts en ciberseguretat van revelar que el grup de pirateria iranià conegut com Charming Kitten, entre altres noms, estava darrere d'un ciberatac a l'abril contra la companyia farmacèutica Gilead Sciences Inc a Califòrnia implicada en la investigació de la COVID-19.

En un dels casos en què es van trobar els investigadors de seguretat, els pirates informàtics van utilitzar una pàgina d'inici de sessió de correu electrònic falsa que estava dissenyada específicament per robar contrasenyes d'un alt executiu de Gilead, implicat en assumptes corporatius i legals. L'atac es va trobar en un lloc web que s'utilitza per escanejar adreces web per detectar activitats malicioses, però els investigadors no van poder determinar si va tenir èxit.

Gràfic de grups de pirates informàtics APT de tendències - Font: Securitystack.co

Un dels analistes que va investigar l'atac va ser Ohad Zaidenberg de la firma israeliana de ciberseguretat ClearSky. Va comentar que l'atac d'abril contra Gilead va ser un esforç per comprometre els comptes de correu electrònic corporatius amb un missatge que suplantava una investigació periodística. Altres analistes, que no estaven autoritzats a comentar públicament, han confirmat des d'aleshores que l'atac utilitzava dominis i servidors que eren utilitzats anteriorment pel grup de pirateria iranià conegut com Charming Kitten.

La missió diplomàtica de l'Iran a les Nacions Unides ha negat qualsevol implicació en aquests atacs , i el portaveu Alireza Miryousefi va afirmar que "El govern iranià no participa en una guerra cibernètica", i va afegir que "les activitats cibernètiques en què participa l'Iran són purament defensives i per protegir-se de nous atacs contra Infraestructura iraniana".

Països apuntats a les recents campanyes cibernètiques iranianes - Font: Stratfor.com

Gilead ha seguit la política de l'empresa sobre qüestions de ciberseguretat i s'ha negat a comentar. La companyia ha rebut molta atenció recentment, ja que és el fabricant del fàrmac antiviral remdesivir, que actualment és l'únic tractament demostrat per ajudar els pacients infectats per COVID-19. Gilead també és una de les empreses que lideren la investigació i el desenvolupament d'un tractament per a la malaltia mortal, la qual cosa la converteix en un objectiu principal per als esforços de recollida d'intel·ligència.