Okouzlující kotě APT

Okouzlující kotě APT

Charming Kitten, také známý jako APT35 , je pokročilá trvalá hrozba, hackerská skupina s podezřelými íránskými vazbami. Skupina je známá také pod jinými názvy: Phosphorus, Ajax Security Team a Newscaster Team. Bylo pozorováno, že Charming Kitten má politicky motivované kampaně, ale také kampaně motivované finančními důvody. Zaměřují se na aktivisty za lidská práva, mediální organizace a akademický sektor. Většina jejich kampaní prosazovala útoky na Spojené království, Spojené státy, Írán a Izrael.

Kampaně s okouzlujícími kočkami

Jedna z nejrozsáhlejších operací, které hackerská skupina provedla, byla provedena proti HBO v roce 2017. Kyberzločinci unikli asi terabajt dat s osobními informacemi o zaměstnancích společnosti, nadcházejících představeních a dalších. Další útoky zinscenované Charming Kitten, neboli APT35, zahrnovaly přístup k podrobným údajům prostřednictvím přeběhlíka amerického letectva a zfalšování webových stránek izraelské společnosti zabývající se kybernetickou bezpečností za účelem odcizení přihlašovacích údajů. Útok, který je připoutal k Íránu, byla operace z roku 2018 zaměřená na politické aktivisty, která ovlivnila sankce namířené proti zemi. Pracovníci společnosti Charming Kitten používali phishingové e-maily se škodlivými přílohami a sociálním inženýrstvím, aby se vydávali za vysoce postavené profesionály.

Íránský úhel pro okouzlující kotě

Cílené phishingové kampaně byly součástí způsobu podnikání APT35 (Charming Kitten), jak bylo vidět na jejich kampani z roku 2019, jejímž cílem bylo vydávat se za bývalé novináře z Wall Street Journal. Použili tento přístup, aby zabořili své drápy do svých obětí s příslibem rozhovorů nebo pozvání na webináře, často na témata íránských a mezinárodních záležitostí té doby.
V jednom z těchto případů útočníci napsali e-mail v arabštině pod falešnou identitou napodobující skutečného Farnaze Fassihiho, bývalého zaměstnance Wall Street Journal, který pro publikaci pracoval 17 let. Operativci Charming Kitten prezentovali tuto falešnou osobu jako stále pracující pro WSJ.

Falešná žádost o rozhovor. Zdroj: blog.certfa.com

Obsah e-mailu byl následující:

Ahoj *** ***** ******
Jmenuji se Farnaz Fasihi. Jsem novinář v novinách Wall Street Journal.
Blízkovýchodní tým WSJ hodlá představit úspěšné nelokální jedince ve vyspělých zemích. Vaše aktivity v oblasti výzkumu a filozofie vědy mě přivedly k tomu, abych vás představil jako úspěšného Íránce. Ředitel týmu pro Blízký východ nás požádal, abychom s vámi připravili rozhovor a podělili se o některé z vašich důležitých úspěchů s naším publikem. Tento rozhovor by mohl motivovat mládež naší milované země, aby objevila svůj talent a posunula se směrem k úspěchu.
Netřeba dodávat, že tento rozhovor je pro mě osobně velkou ctí a žádám vás, abyste přijali mé pozvání k rozhovoru.
Otázky jsou profesionálně koncipovány skupinou mých kolegů a výsledný rozhovor bude zveřejněn v sekci Weekly Interview na WSJ. Otázky a požadavky na pohovor vám zašlu, jakmile je přijmete.
*Poznámka: Nemístní označuje lidi, kteří se narodili v jiných zemích.
Děkuji za vaši laskavost a pozornost.
Farnaz Fasihi

Odkazy v e-mailech byly ve formátu krátké adresy URL, kterou často používali aktéři hrozeb, aby za nimi skryli legitimní odkazy, s cílem shromažďovat data o IP adresách, verzích prohlížečů a OS a dalších. To pomohlo připravit cestu k dalším útokům budováním důvěry opakovanou komunikací a přípravou na okamžik jednat.

Jakmile se časem vytvoří důvěra, hackeři odešlou odkaz, který obsahuje údajné otázky k rozhovoru. Vzorky týmu Computer Emergency Response Team v perštině (CERTFA) ukázaly, že útočníci používali metodu, kterou v posledních letech používali phisheři, se stránkami hostovanými na Webech Google.

Jakmile oběť otevře odkaz, může být přesměrována na jinou falešnou stránku, která se pokusí zaznamenat jejich přihlašovací údaje a dvoufaktorový ověřovací kód pomocí phishingové sady.

Shrnutí operací s okouzlujícím koťátkem

V roce 2015 byla výzkumníky objevena první vlna phishingových útoků, přičemž pozdější masové špionážní operace byly objeveny v letech 2016 až 2017 výzkumníky z ClearSky. Operátoři Charming Kitten používali předstírání identity, spear-phishing a útoky na zalévání.

V roce 2018 kyberzločinci z Charming Kitten šli po ClearSky s podvodným webem vydávajícím se za portál bezpečnostní společnosti. V tomto roce bylo identifikováno více útoků proti cílům na Blízkém východě pomocí falešné e-mailové kampaně a falešných webových stránek.

V roce 2019 se aktivity Charming Kitten (APT35) rozšířily o zacílení na neíránce v USA, na Středním východě a ve Francii se zacílením na veřejné osobnosti mimo akademické ďábly, na které se původně chystali. Ke své e-mailové korespondenci začali připojovat sledovač, aby mohli sledovat e-maily přeposílané na jiné účty s úmyslem získat geolokační údaje.

>>>Aktualizace 10. května 2020 – APT35 (Charming Kitten) zapojený do kampaně proti hackování COVID-19

Soubor veřejně dostupných webových archivů zkontrolovaných odborníky na kybernetickou bezpečnost odhalil, že za dubnovým kyberútokem proti farmaceutické společnosti Gilead Sciences Inc, která se zabývá výzkumem COVID-19, stojí mimo jiné íránská hackerská skupina známá jako Charming Kitten.

V jednom z případů, na který bezpečnostní výzkumníci narazili, použili hackeři falešnou přihlašovací stránku k e-mailu, která byla speciálně navržena tak, aby ukradla hesla nejvyššímu představiteli Gileadu, zapojenému do podnikových a právních záležitostí. Útok byl nalezen na webu, který se používá ke skenování webových adres, zda neobsahují škodlivou aktivitu, ale výzkumníci nebyli schopni určit, zda byl úspěšný.
Jedním z analytiků, kteří útok zkoumali, byl Ohad Zaidenberg z izraelské kybernetické firmy ClearSky. Poznamenal, že dubnový útok na Gilead byl snahou kompromitovat firemní e-mailové účty zprávou, která se vydávala za novinářský dotaz. Další analytici, kteří nebyli oprávněni veřejně komentovat, od té doby potvrdili, že útok použil domény a servery, které dříve používala íránská hackerská skupina známá jako Charming Kitten.

trendy apt hackerské skupiny

Trendy APT Hacker Groups Chart – Zdroj: Securitystack.co

Íránská diplomatická mise při OSN popřela, že by se na takových útocích podílela, a mluvčí Alireza Miryousefi uvedl, že „íránská vláda se nezapojuje do kybernetické války,“ dodal „Kybernetické aktivity, do kterých se Írán zapojuje, jsou čistě obranné a slouží k ochraně před dalšími útoky na Íránská infrastruktura."

Gilead dodržuje zásady společnosti týkající se projednávání záležitostí kybernetické bezpečnosti a odmítl se k tomu vyjádřit. Společnosti se v poslední době dostalo velké pozornosti, protože je výrobcem antivirového léku remdesivir, což je v současnosti jediná léčba, která prokázala, že pomáhá pacientům nakaženým COVID-19. Gilead je také jednou ze společností vedoucích výzkum a vývoj léčby smrtelné nemoci, díky čemuž je hlavním cílem úsilí o shromažďování zpravodajských informací.

Trending

Loading...