APT35

APT35 Περιγραφή

Επιθέσεις χάκερ apt35 Η APT35 (Advanced Persistent Threat) είναι μια ομάδα hacking που πιστεύεται ότι προέρχεται από το Ιράν. Αυτή η ομάδα hacking είναι επίσης γνωστή με πολλά άλλα ψευδώνυμα - Newscaster Team, Phosphorus, Charming Kitten και Ajax Security Team. Η ομάδα hacking APT35 συνήθως εμπλέκεται τόσο σε εκστρατείες με πολιτικά κίνητρα, όσο και σε εκστρατείες με οικονομικά κίνητρα. Η ομάδα hacking APT35 τείνει να επικεντρώνει τις προσπάθειές της ενάντια σε παράγοντες που εμπλέκονται στον ακτιβισμό για τα ανθρώπινα δικαιώματα, σε διάφορους οργανισμούς μέσων ενημέρωσης και κυρίως στον ακαδημαϊκό τομέα. Οι περισσότερες εκστρατείες πραγματοποιούνται στις Ηνωμένες Πολιτείες, το Ισραήλ, το Ιράν και το Ηνωμένο Βασίλειο.

Δημοφιλείς καμπάνιες APT35

Μία από τις πιο διαβόητες επιχειρήσεις APT35 είναι αυτή που πραγματοποιήθηκε κατά του HBO που έλαβε χώρα το 2017. Σε αυτήν, το APT35 διέρρευσε πάνω από 1 TB δεδομένων, τα οποία αποτελούνταν από προσωπικά στοιχεία του προσωπικού και εκπομπές, τα οποία δεν είχαν ακόμη μεταδοθεί επίσημα. Μια άλλη διαβόητη εκστρατεία APT35 που τα έβαλε στον χάρτη είναι αυτή που περιλάμβανε επίσης έναν αποστάτη της Πολεμικής Αεροπορίας των ΗΠΑ. Το εν λόγω άτομο βοήθησε την APT35 να αποκτήσει πρόσβαση σε διαβαθμισμένα κρατικά δεδομένα. Το 2018, ο όμιλος APT35 δημιούργησε έναν ιστότοπο που είχε σκοπό να μιμηθεί μια νόμιμη ισραηλινή εταιρεία κυβερνοασφάλειας. Η μόνη διαφορά ήταν ότι ο ψεύτικος ιστότοπος είχε ένα ελαφρώς αλλαγμένο όνομα τομέα. Αυτή η καμπάνια βοήθησε το APT35 να λάβει τα στοιχεία σύνδεσης ορισμένων από τους πελάτες της εταιρείας. Η τελευταία περιβόητη εκστρατεία που αφορούσε το APT35 πραγματοποιήθηκε τον Δεκέμβριο του 2018. Σε αυτήν την επιχείρηση, ο όμιλος APT35 λειτουργούσε με το ψευδώνυμο Charming Kitten. Αυτή η επιχείρηση είχε στόχο διάφορους πολιτικούς ακτιβιστές που είχαν επιρροή στις οικονομικές κυρώσεις, καθώς και στις στρατιωτικές κυρώσεις που επιβλήθηκαν εκείνη την εποχή στο Ιράν. Ο όμιλος APT35 παρουσιάστηκε ως επαγγελματίες υψηλού επιπέδου που εμπλέκονται στους ίδιους τομείς με τους στόχους τους. Οι επιτιθέμενοι χρησιμοποίησαν προσαρμοσμένα μηνύματα ηλεκτρονικού ψαρέματος που έφεραν πλαστά συνημμένα, καθώς και πλαστά προφίλ στα μέσα κοινωνικής δικτύωσης.

Ψάρεμα με πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου συνέντευξης

Οι στοχευμένες εκστρατείες phishing αποτελούν μέρος του τρόπου λειτουργίας του Charming Kitten, με τους χάκερ να χρησιμοποιούν ψεύτικα email και κοινωνική μηχανική ως μεθόδους εκτέλεσης. Σε μια καμπάνια του 2019, η ομάδα Charming Kitten υποδύθηκε πρώην δημοσιογράφους της Wall Street Journal (WSJ) και προσέγγισε τα θύματά της με ένα ψεύτικο σενάριο συνέντευξης. Η ομάδα έχει επίσης εντοπιστεί να χρησιμοποιεί διαφορετικά σενάρια, όπως «Συνέντευξη στο CNN» και «Πρόσκληση σε Webinar της Deutsche Welle», συνήθως γύρω από θέματα ιρανικών και διεθνών υποθέσεων.

Σε μια συγκεκριμένη περίπτωση, οι δράστες δημιούργησαν ένα ψεύτικο email στα αραβικά, χρησιμοποιώντας την ταυτότητα του Farnaz Fassihi, σήμερα δημοσιογράφου των New York Times, ο οποίος είχε εργαστεί στο παρελθόν στη Wall Street Journal για 17 χρόνια. Είναι αρκετά ενδιαφέρον ότι οι χάκερ παρουσίασαν τη Farnaz Fassihi ως εργαζόμενη για τον πρώην εργοδότη της, The Wall Street Journal.


Ψεύτικο email αίτησης συνέντευξης - Πηγή: blog.certfa.com

Μετάφραση ηλεκτρονικού ταχυδρομείου:

Γεια σας *** ***** ******
Το όνομά μου είναι Farnaz Fasihi. Είμαι δημοσιογράφος στην εφημερίδα Wall Street Journal.
Η ομάδα Μέσης Ανατολής του WSJ σκοπεύει να εισαγάγει επιτυχημένα μη ντόπια άτομα σε ανεπτυγμένες χώρες. Οι δραστηριότητές σας στους τομείς της έρευνας και της φιλοσοφίας της επιστήμης με οδήγησαν να σας παρουσιάσω ως επιτυχημένο Ιρανό. Ο διευθυντής της ομάδας της Μέσης Ανατολής μας ζήτησε να οργανώσουμε μια συνέντευξη μαζί σας και να μοιραστούμε μερικά από τα σημαντικά επιτεύγματά σας με το κοινό μας. Αυτή η συνέντευξη θα μπορούσε να παρακινήσει τους νέους της αγαπημένης μας χώρας να ανακαλύψουν τα ταλέντα τους και να προχωρήσουν προς την επιτυχία.
Περιττό να πούμε ότι αυτή η συνέντευξη είναι μεγάλη τιμή για μένα προσωπικά και σας προτρέπω να αποδεχτείτε την πρόσκλησή μου για τη συνέντευξη.
Οι ερωτήσεις σχεδιάζονται επαγγελματικά από μια ομάδα συναδέλφων μου και η συνέντευξη που θα προκύψει θα δημοσιευθεί στην ενότητα Weekly Interview του WSJ. Θα σας στείλω τις ερωτήσεις και τις απαιτήσεις της συνέντευξης μόλις αποδεχτείτε.
*Υποσημείωση: Το μη τοπικό αναφέρεται σε άτομα που γεννήθηκαν σε άλλες χώρες.
Σας ευχαριστώ για την καλοσύνη και την προσοχή σας.
Φαρνάζ Φασίχι

Όλοι οι σύνδεσμοι που περιέχονταν στα email ήταν σε μορφή συντομευμένης διεύθυνσης URL, η οποία χρησιμοποιήθηκε από χάκερ για να καθοδηγήσουν τα θύματά τους σε νόμιμες διευθύνσεις, συγκεντρώνοντας ταυτόχρονα βασικές πληροφορίες για τις συσκευές τους, όπως λειτουργικό σύστημα, πρόγραμμα περιήγησης και διεύθυνση IP. Αυτές οι πληροφορίες χρειάστηκαν από τους χάκερ για την προετοιμασία της κύριας επίθεσης στους στόχους τους.


Δείγμα ψεύτικης σελίδας WSJ που φιλοξενείται στους Ιστότοπους Google - Πηγή: blog.certfa.com

Αφού εδραιώσουν σχετική εμπιστοσύνη με τον επιδιωκόμενο στόχο, οι χάκερ θα τους έστελναν έναν μοναδικό σύνδεσμο, ο οποίος φέρεται να περιέχει τις ερωτήσεις της συνέντευξης. Σύμφωνα με δείγματα που δοκιμάστηκαν από την Computer Emergency Response Team στα Φαρσί (CERTFA), οι εισβολείς χρησιμοποιούν μια σχετικά νέα μέθοδο που έχει κερδίσει μεγάλη δημοτικότητα με τους phishers τον περασμένο χρόνο, φιλοξενώντας σελίδες στους Ιστότοπους Google.

Μόλις το θύμα κάνει κλικ στο κουμπί "Λήψη" στη σελίδα του ιστότοπου Google, θα ανακατευθυνθεί σε μια άλλη ψεύτικη σελίδα που θα επιχειρήσει να συγκεντρώσει τα διαπιστευτήρια σύνδεσης για τη διεύθυνση email του και τον κωδικό ελέγχου ταυτότητας δύο παραγόντων, χρησιμοποιώντας κιτ phishing όπως το Modlishka.

Κακόβουλο λογισμικό DownPaper του APT35

Το εργαλείο DownPaper είναι ένας Trojan backdoor, ο οποίος χρησιμοποιείται κυρίως ως ωφέλιμο φορτίο πρώτου σταδίου και έχει τις δυνατότητες:

  • Δημιουργήστε μια σύνδεση με τον διακομιστή C&C (Command & Control) του εισβολέα και λάβετε εντολές και επιβλαβή φορτία, τα οποία πρόκειται να εκτελεστούν στον διεισδυμένο κεντρικό υπολογιστή.
  • Αποκτήστε επιμονή παραβιάζοντας το μητρώο των Windows.
  • Συγκεντρώστε πληροφορίες σχετικά με το παραβιασμένο σύστημα, όπως δεδομένα υλικού και λογισμικού.
  • Εκτελέστε εντολές CMD και PowerShell.

Η ομάδα hacking APT35 είναι μια πολύ επίμονη ομάδα ατόμων και είναι απίθανο να σχεδιάσουν να σταματήσουν τις δραστηριότητές τους σύντομα. Έχοντας υπόψη ότι το πολιτικό κλίμα γύρω από το Ιράν έχει θερμανθεί εδώ και λίγο καιρό, είναι πιθανό να συνεχίσουμε να ακούμε για τις εκστρατείες του ομίλου APT35 στο μέλλον.

Ενημέρωση 10 Μαΐου 2020 - Το APT35 συμμετέχει στην καμπάνια hacking για τον COVID-19

Ένα σύνολο από δημόσια διαθέσιμα αρχεία Ιστού που εξετάστηκαν από ειδικούς στον τομέα της κυβερνοασφάλειας αποκάλυψε ότι η ιρανική ομάδα hacking γνωστή ως Charming Kitten, μεταξύ άλλων ονομάτων, βρισκόταν πίσω από μια κυβερνοεπίθεση τον Απρίλιο κατά της εταιρείας φαρμάκων με έδρα την Καλιφόρνια Gilead Sciences Inc που εμπλέκεται στην έρευνα για τον COVID-19.

Σε μία από τις περιπτώσεις που αντιμετώπισαν οι ερευνητές ασφάλειας, οι χάκερ χρησιμοποίησαν μια ψεύτικη σελίδα σύνδεσης email που είχε σχεδιαστεί ειδικά για να κλέβει κωδικούς πρόσβασης από ένα κορυφαίο στέλεχος της Gilead, που εμπλέκεται σε εταιρικές και νομικές υποθέσεις. Η επίθεση εντοπίστηκε σε έναν ιστότοπο που χρησιμοποιείται για τη σάρωση διευθύνσεων ιστού για κακόβουλη δραστηριότητα, αλλά οι ερευνητές δεν κατάφεραν να προσδιορίσουν εάν ήταν επιτυχής.

ανερχόμενες ομάδες χάκερ
Trending APT Hacker Groups Chart - Πηγή: Securitystack.co

Ένας από τους αναλυτές που ερεύνησαν την επίθεση ήταν ο Ohad Zaidenberg από την ισραηλινή εταιρεία κυβερνοασφάλειας ClearSky. Σχολίασε ότι η επίθεση του Απριλίου κατά της Gilead ήταν μια προσπάθεια να παραβιαστούν εταιρικοί λογαριασμοί email με ένα μήνυμα που υποδύθηκε μια έρευνα δημοσιογράφου. Άλλοι αναλυτές, που δεν εξουσιοδοτήθηκαν να σχολιάσουν δημόσια, επιβεβαίωσαν έκτοτε ότι η επίθεση χρησιμοποίησε τομείς και διακομιστές που χρησιμοποιούνταν προηγουμένως από την ιρανική ομάδα hacking γνωστή ως Charming Kitten.

Η διπλωματική αποστολή του Ιράν στα Ηνωμένα Έθνη αρνήθηκε οποιαδήποτε ανάμειξη σε τέτοιες επιθέσεις , με τον εκπρόσωπο Alireza Miryousefi να δηλώνει ότι «η ιρανική κυβέρνηση δεν εμπλέκεται σε κυβερνοπόλεμο», προσθέτοντας ότι «οι δραστηριότητες στον κυβερνοχώρο στις οποίες εμπλέκεται το Ιράν είναι καθαρά αμυντικές και για προστασία από περαιτέρω επιθέσεις σε Ιρανικές υποδομές».

στόχευσαν χώρες που επιτίθενται στο Ιράν
Χώρες που στοχεύονται σε πρόσφατες ιρανικές κυβερνοεκστρατείες - Πηγή: Stratfor.com

Η Gilead ακολούθησε την πολιτική της εταιρείας σχετικά με τη συζήτηση θεμάτων κυβερνοασφάλειας και αρνήθηκε να σχολιάσει. Η εταιρεία έχει λάβει μεγάλη προσοχή πρόσφατα, καθώς είναι ο κατασκευαστής του αντιιικού φαρμάκου remdesivir, το οποίο είναι προς το παρόν η μόνη θεραπεία που έχει αποδειχθεί ότι βοηθά ασθενείς που έχουν μολυνθεί με COVID-19. Η Gilead είναι επίσης μία από τις εταιρείες που ηγούνται της έρευνας και της ανάπτυξης μιας θεραπείας για τη θανατηφόρα ασθένεια, καθιστώντας την πρωταρχικό στόχο για τις προσπάθειες συλλογής πληροφοριών.