APT gatet encantador

Charming Kitten, també conegut com APT35 , és una amenaça persistent avançada, un grup de pirates informàtics amb sospita de vincles iranians. El grup també es coneix amb altres noms: Phosphorus, Ajax Security Team i Newscaster Team. S'ha observat que Charming Kitten té campanyes de motivació política, però també per motius financers. Apunten als activistes dels drets humans, a les organitzacions de mitjans i al sector acadèmic. La majoria de les seves campanyes pressionaven per atacar el Regne Unit, els Estats Units, l'Iran i Israel.

Campanyes de gatets encantadors

Una de les operacions més expansives dutes a terme pel grup de pirates informàtics es va dur a terme contra HBO el 2017. Els ciberdelinqüents van filtrar sobre un terabyte de dades amb informació personal sobre el personal de l'empresa, propers espectacles i molt més. Altres atacs protagonitzats per Charming Kitten, també conegut com APT35, van incloure l'accés a dades detallades a través d'un desertor de la Força Aèria dels EUA i la falsificació del lloc web d'una empresa de ciberseguretat israeliana per robar les dades d'inici de sessió. L'atac que els va vincular a l'Iran va ser una operació del 2018 dirigida a activistes polítics que va influir en les sancions dirigides al país. Els operaris de Charming Kitten van utilitzar correus electrònics de pesca amb fitxers adjunts maliciosos i enginyeria social per fer-se passar per professionals d'alt rang.

L'angle iranià per a un gatet encantador

Les campanyes de pesca dirigides formaven part de la manera com l'APT35 (Charming Kitten) feia negocis, com es va poder veure amb la seva campanya del 2019 que tenia com a objectiu suplantar la identitat d'experiodistes del Wall Street Journal. Van utilitzar aquest enfocament per enfonsar les seves urpes a les seves víctimes amb la promesa d'entrevistes o invitacions a seminaris web, sovint sobre temes d'afers iranians i internacionals en aquell moment.
En un d'aquests casos, els atacants van escriure un correu electrònic en àrab sota la identitat falsa imitant a la vida real Farnaz Fassihi, un ex-empleat del Wall Street Journal amb 17 anys treballant per a la publicació. Els agents de Charming Kitten van presentar aquest personatge fals com encara treballant per a WSJ.

Sol·licitud d'entrevista falsa. Font: blog.certfa.com

El contingut del correu electrònic era el següent:

Hola *** ***** ******
Em dic Farnaz Fasihi. Sóc periodista del diari Wall Street Journal.
L'equip de l'Orient Mitjà del WSJ té la intenció d'introduir persones d'èxit no locals als països desenvolupats. Les teves activitats en els camps de la recerca i la filosofia de la ciència em van portar a presentar-te com un iranià d'èxit. El director de l'equip de l'Orient Mitjà ens va demanar que féssim una entrevista amb vosaltres i compartim alguns dels vostres èxits importants amb el nostre públic. Aquesta entrevista podria motivar els joves del nostre estimat país a descobrir els seus talents i avançar cap a l'èxit.
No cal dir que aquesta entrevista és un gran honor per a mi personalment, i us insto a acceptar la meva invitació per a l'entrevista.
Les preguntes estan dissenyades professionalment per un grup de companys i l'entrevista resultant es publicarà a la secció d'Entrevista Setmanal del WSJ. T'enviaré les preguntes i requisits de l'entrevista tan aviat com acceptis.
*Nota al peu: no local es refereix a persones nascudes a altres països.
Gràcies per la vostra amabilitat i atenció.
Farnaz Fasihi

Els enllaços dels correus electrònics tenien un format d'URL curt, sovint utilitzat pels actors d'amenaces per dissimular enllaços legítims darrere d'ells, amb l'objectiu de recopilar dades d'adreces IP, navegadors i versions del sistema operatiu i molt més. Això va ajudar a obrir el camí a nous atacs generant confiança amb una comunicació repetida i preparant-se per al moment d'actuar.

Un cop s'estableix la confiança al llarg del temps, els pirates informàtics envien un enllaç que conté les suposades preguntes de l'entrevista. Les mostres de l'equip de resposta a emergències informàtiques en farsi (CERTFA) van mostrar que els atacants estaven utilitzant un mètode utilitzat pels phishers els darrers anys, amb pàgines allotjades a Google Sites.

Un cop la víctima obri l'enllaç, pot ser redirigida a una altra pàgina falsa que intenta registrar les seves credencials d'inici de sessió i el codi d'autenticació de dos factors mitjançant l'ús d'un kit de pesca.

Resum de les operacions de gatets encantadors

L'any 2015, els investigadors van descobrir la primera onada d'atacs de pesca, amb operacions d'espionatge posteriors a gran escala que van ser descobertes entre el 2016 i el 2017 pels investigadors de ClearSky. Els operadors de Charming Kitten van utilitzar la suplantació d'identitat, la pesca de llança i els atacs a la font d'aigua.

El 2018, els ciberdelinqüents de Charming Kitten van perseguir ClearSky amb un lloc web fraudulent suplantant el portal de l'empresa de seguretat. Aquell any es van identificar més atacs contra objectius de l'Orient Mitjà amb una campanya de correu electrònic falsa i llocs web falsos.

El 2019, les activitats de Charming Kitten (APT35) es van expandir dirigint-se a persones no iranianes als Estats Units, Orient Mitjà i França, amb com a objectiu personals públics fora dels dimonis acadèmics als quals anaven inicialment. Van començar a adjuntar un rastrejador a la seva correspondència de correu electrònic per seguir els correus electrònics reenviats a altres comptes, amb la intenció d'obtenir dades de geolocalització.

>>>Actualització 10 de maig de 2020 - APT35 (Gat encantador) implicat en la campanya de pirateria COVID-19

Un conjunt d'arxius web disponibles públicament revisats per experts en ciberseguretat van revelar que el grup de pirateria iranià conegut com Charming Kitten, entre altres noms, estava darrere d'un ciberatac a l'abril contra la companyia farmacèutica Gilead Sciences Inc a Califòrnia implicada en la investigació de la COVID-19.

En un dels casos en què es van trobar els investigadors de seguretat, els pirates informàtics van utilitzar una pàgina d'inici de sessió de correu electrònic falsa que estava dissenyada específicament per robar contrasenyes d'un alt executiu de Gilead, implicat en assumptes corporatius i legals. L'atac es va trobar en un lloc web que s'utilitza per escanejar adreces web per detectar activitats malicioses, però els investigadors no van poder determinar si va tenir èxit.
Un dels analistes que va investigar l'atac va ser Ohad Zaidenberg de la firma israeliana de ciberseguretat ClearSky. Va comentar que l'atac d'abril contra Gilead va ser un esforç per comprometre els comptes de correu electrònic corporatius amb un missatge que suplantava una investigació periodística. Altres analistes, que no estaven autoritzats a comentar públicament, han confirmat des d'aleshores que l'atac utilitzava dominis i servidors que eren utilitzats anteriorment pel grup de pirateria iranià conegut com Charming Kitten.

Gràfic de grups de pirates informàtics APT de tendències - Font: Securitystack.co

La missió diplomàtica de l'Iran a les Nacions Unides ha negat qualsevol implicació en aquests atacs, i el portaveu Alireza Miryousefi va afirmar que "El govern iranià no participa en una guerra cibernètica", i va afegir que "les activitats cibernètiques en què participa l'Iran són purament defensives i per protegir-se de nous atacs contra infraestructura iraniana".

Gilead ha seguit la política de l'empresa sobre qüestions de ciberseguretat i s'ha negat a comentar. La companyia ha rebut molta atenció recentment, ja que és el fabricant del fàrmac antiviral remdesivir, que actualment és l'únic tractament demostrat per ajudar els pacients infectats per COVID-19. Gilead també és una de les empreses que lideren la investigació i el desenvolupament d'un tractament per a la malaltia mortal, la qual cosa la converteix en un objectiu principal per als esforços de recollida d'intel·ligència.