APT35

APT35 Popis

útoky na skupinu hackerů apt35 APT35 (Advanced Persistent Threat) je hackerská skupina, o které se předpokládá, že pochází z Íránu. Tato hackerská skupina je známá také pod několika dalšími přezdívkami – Newscaster Team, Phosphorus, Charming Kitten a Ajax Security Team. Hackerská skupina APT35 se obvykle účastní jak politicky motivovaných kampaní, tak i finančně motivovaných. Hackerská skupina APT35 má tendenci soustředit své úsilí proti aktérům zapojených do lidskoprávního aktivismu, různým mediálním organizacím a především akademickému sektoru. Většina kampaní se provádí ve Spojených státech, Izraeli, Íránu a Spojeném království.

Populární kampaně APT35

Jednou z nejznámějších operací APT35 je ta, která byla provedena proti HBO v roce 2017. Při ní uniklo z APT35 přes 1 TB dat, která se skládala z osobních údajů zaměstnanců a pořadů, které se teprve oficiálně odvysílaly. Další nechvalně známá kampaň APT35, která je dostala na mapu, je ta, která zahrnovala také odpadlíka amerického letectva. Dotyčná osoba pomohla APT35 získat přístup k tajným vládním údajům. V roce 2018 skupina APT35 vytvořila webovou stránku, která měla napodobovat legitimní izraelskou společnost zabývající se kybernetickou bezpečností. Jediný rozdíl byl v tom, že falešný web měl mírně pozměněný název domény. Tato kampaň pomohla APT35 získat přihlašovací údaje některých klientů společnosti. Poslední nechvalně známá kampaň zahrnující APT35 byla uskutečněna v prosinci 2018. V této operaci fungovala skupina APT35 pod aliasem Charming Kitten. Tato operace byla zaměřena na různé politické aktivisty, kteří měli vliv na ekonomické sankce, stejně jako vojenské sankce uvalené na Írán v té době. Skupina APT35 vystupovala jako vysoce postavení profesionálové zabývající se stejnými obory jako jejich cíle. Útočníci použili přizpůsobené phishingové e-maily obsahující falešné přílohy a také falešné profily na sociálních sítích.

Phishing s falešnými e-maily s rozhovory

Cílené phishingové kampaně jsou součástí modu operandi Charming Kitten, přičemž hackeři používají jako metody provádění falešné e-maily a sociální inženýrství. V jedné kampani z roku 2019 se skupina Charming Kitten vydávala za bývalé novináře Wall Street Journal (WSJ) a oslovila jejich zamýšlené oběti pomocí scénáře falešného rozhovoru. Skupina byla také spatřena pomocí různých scénářů, jako je ''CNN Interview'' a ''Pozvánka na webinář Deutsche Welle'', obvykle na témata íránských a mezinárodních záležitostí.

V jednom konkrétním případě útočníci vytvořili falešný e-mail v arabštině s použitím identity Farnaze Fassihiho, v současnosti novináře New York Times, který předtím 17 let pracoval pro The Wall Street Journal. Je zajímavé, že hackeři představili Farnaz Fassihi jako práci pro jejího bývalého zaměstnavatele, The Wall Street Journal.


Falešný e-mail s žádostí o rozhovor – Zdroj: blog.certfa.com

Překlad e-mailu:

Ahoj *** ***** ******
Jmenuji se Farnaz Fasihi. Jsem novinář v novinách Wall Street Journal.
Blízkovýchodní tým WSJ hodlá představit úspěšné nelokální jedince ve vyspělých zemích. Vaše aktivity v oblasti výzkumu a filozofie vědy mě přivedly k tomu, abych vás představil jako úspěšného Íránce. Ředitel týmu pro Blízký východ nás požádal, abychom s vámi připravili rozhovor a podělili se o některé z vašich důležitých úspěchů s naším publikem. Tento rozhovor by mohl motivovat mládež naší milované země, aby objevila svůj talent a posunula se směrem k úspěchu.
Netřeba dodávat, že tento rozhovor je pro mě osobně velkou ctí a žádám vás, abyste přijali mé pozvání k rozhovoru.
Otázky jsou profesionálně koncipovány skupinou mých kolegů a výsledný rozhovor bude zveřejněn v sekci Weekly Interview na WSJ. Otázky a požadavky na pohovor vám zašlu, jakmile přijmete.
*Poznámka: Nemístní označuje lidi, kteří se narodili v jiných zemích.
Děkuji za vaši laskavost a pozornost.
Farnaz Fasihi

Všechny odkazy obsažené v e-mailech byly ve zkráceném formátu URL, který hackeři používali k tomu, aby navedli svou oběť na legitimní adresy a zároveň shromáždili základní informace o svých zařízeních, jako je operační systém, prohlížeč a IP adresa. Tyto informace potřebovali hackeři při přípravě hlavního útoku na jejich cíle.


Ukázka falešné stránky WSJ hostované na stránkách Google – Zdroj: blog.certfa.com

Po vytvoření relativní důvěry se zamýšleným cílem jim hackeři pošlou unikátní odkaz, který údajně obsahuje otázky k rozhovoru. Podle vzorků testovaných týmem Computer Emergency Response Team v perštině (CERTFA) útočníci používají relativně novou metodu, která si za poslední rok získala velkou oblibu u phisherů, a to hostování stránek na stránkách Google.

Jakmile oběť klikne na tlačítko ''Stáhnout'' na stránce webu Google, bude přesměrována na jinou falešnou stránku, která se pokusí získat přihlašovací údaje pro její e-mailovou adresu a její dvoufaktorový ověřovací kód pomocí phishingových sad, jako je Modlishka.

Malware DownPaper APT35

Nástroj DownPaper je trojský kůň typu backdoor, který se většinou používá jako náklad první fáze a má schopnosti:

  • Navažte spojení s útočníkovým C&C (Command & Control) serverem a přijímejte příkazy a škodlivá data, která mají být provedena na infiltrovaném hostiteli.
  • Získejte vytrvalost manipulací s registrem Windows.
  • Shromážděte informace o napadeném systému, jako jsou data o hardwaru a softwaru.
  • Spusťte příkazy CMD a PowerShell.

Hackerská skupina APT35 je velmi vytrvalá skupina jednotlivců a je nepravděpodobné, že by v brzké době plánovali zastavit své aktivity. S ohledem na to, že politické klima kolem Íránu se již nějakou dobu zahřívá, je pravděpodobné, že o kampaních skupiny APT35 budeme v budoucnu stále slyšet.

Aktualizace 10. května 2020 – APT35 zapojený do hackerské kampaně COVID-19

Soubor veřejně dostupných webových archivů zkontrolovaných odborníky na kybernetickou bezpečnost odhalil, že za dubnovým kyberútokem proti farmaceutické společnosti Gilead Sciences Inc, která se zabývá výzkumem COVID-19, stojí mimo jiné íránská hackerská skupina známá jako Charming Kitten.

V jednom z případů, na který bezpečnostní výzkumníci narazili, použili hackeři falešnou přihlašovací stránku k e-mailu, která byla speciálně navržena tak, aby ukradla hesla nejvyššímu představiteli Gileadu, zapojenému do podnikových a právních záležitostí. Útok byl nalezen na webové stránce, která se používá ke skenování webových adres na přítomnost škodlivé aktivity, ale výzkumníci nebyli schopni určit, zda byl úspěšný.

trendy apt hackerské skupiny
Trendy APT Hacker Groups Chart – Zdroj: Securitystack.co

Jedním z analytiků, kteří zkoumali útok, byl Ohad Zaidenberg z izraelské kybernetické firmy ClearSky. Poznamenal, že dubnový útok na Gilead byl snahou kompromitovat firemní e-mailové účty zprávou, která se vydávala za novinářský dotaz. Další analytici, kteří nebyli oprávněni veřejně komentovat, od té doby potvrdili, že útok použil domény a servery, které dříve používala íránská hackerská skupina známá jako Charming Kitten.

Íránská diplomatická mise při OSN popřela, že by se na takových útocích podílela , a mluvčí Alireza Miryousefi uvedl, že „íránská vláda se nezapojuje do kybernetické války,“ dodal „Kybernetické aktivity, do kterých se Írán zapojuje, jsou čistě obranné a slouží k ochraně před dalšími útoky na Íránská infrastruktura."

cílové země íránští útočníci
Země, na které byly zacíleny nedávné íránské kybernetické kampaně – Zdroj: Stratfor.com

Gilead dodržuje zásady společnosti týkající se projednávání záležitostí kybernetické bezpečnosti a odmítl se k tomu vyjádřit. Společnosti je v poslední době věnována velká pozornost, protože je výrobcem antivirotika remdesivir, což je v současnosti jediná léčba, která prokazatelně pomáhá pacientům nakaženým COVID-19. Gilead je také jednou ze společností vedoucích výzkum a vývoj léčby smrtelné nemoci, díky čemuž je hlavním cílem úsilí o shromažďování zpravodajských informací.