Charming Kitten APT
Το Charming Kitten, γνωστό και ως APT35 , είναι μια προηγμένη επίμονη απειλή, μια ομάδα χάκερ με ύποπτους ιρανικούς δεσμούς. Η ομάδα είναι επίσης γνωστή με άλλα ονόματα: Phosphorus, Ajax Security Team και Newscaster Team. Το Charming Kitten έχει παρατηρηθεί ότι έχει εκστρατείες με πολιτικά κίνητρα, αλλά και για οικονομικούς λόγους. Στοχεύουν σε ακτιβιστές ανθρωπίνων δικαιωμάτων, οργανώσεις μέσων ενημέρωσης και τον ακαδημαϊκό τομέα. Η πλειοψηφία των εκστρατειών τους πίεζαν για επιθέσεις στο Ηνωμένο Βασίλειο, τις Ηνωμένες Πολιτείες, το Ιράν και το Ισραήλ.
Πίνακας περιεχομένων
Γοητευτικές καμπάνιες για γατάκια
Μία από τις πιο εκτεταμένες επιχειρήσεις που ανέλαβε η ομάδα χάκερ πραγματοποιήθηκε κατά του HBO το 2017. Οι κυβερνοεγκληματίες διέρρευσαν περίπου ένα terabyte δεδομένων με προσωπικές πληροφορίες για το προσωπικό της εταιρείας, επερχόμενες εκπομπές και πολλά άλλα. Άλλες επιθέσεις που διοργάνωσε ο Charming Kitten, γνωστός και ως APT35 περιελάμβαναν πρόσβαση σε λεπτομερή δεδομένα μέσω ενός αποστάτη της Πολεμικής Αεροπορίας των ΗΠΑ και παραπλάνηση του ιστότοπου μιας ισραηλινής εταιρείας κυβερνοασφάλειας για την κλοπή στοιχείων σύνδεσης. Η επίθεση που τους έδεσε με το Ιράν ήταν μια επιχείρηση του 2018 που στόχευε σε πολιτικούς ακτιβιστές που επηρέασαν τις κυρώσεις που στόχευαν εναντίον της χώρας. Οι γοητευτικοί πράκτορες της Kitten χρησιμοποίησαν μηνύματα ηλεκτρονικού ψαρέματος με κακόβουλα συνημμένα και κοινωνική μηχανική για να παρουσιαστούν ως επαγγελματίες υψηλής κατάταξης.
Η ιρανική γωνία για γοητευτικό γατάκι
Οι στοχευμένες εκστρατείες ηλεκτρονικού ψαρέματος ήταν μέρος του τρόπου με τον οποίο το APT35 (Charming Kitten) δραστηριοποιείται, όπως φάνηκε με την καμπάνια του 2019 που στόχευε στην πλαστοπροσωπία πρώην δημοσιογράφων της Wall Street Journal. Χρησιμοποίησαν αυτή την προσέγγιση για να βυθίσουν τα νύχια τους στα θύματά τους με την υπόσχεση συνεντεύξεων ή προσκλήσεων σε διαδικτυακά σεμινάρια, συχνά με θέματα ιρανικών και διεθνών υποθέσεων εκείνης της εποχής.
Σε μία από αυτές τις περιπτώσεις, οι δράστες συνέταξαν ένα email στα αραβικά με την ψεύτικη ταυτότητα, μιμούμενος την πραγματική Farnaz Fassihi, πρώην υπάλληλο της Wall Street Journal με 17 χρόνια εργασίας για την έκδοση. Οι πράκτορες του Charming Kitten παρουσίασαν αυτήν την ψεύτικη περσόνα ότι εργάζεται ακόμα για το WSJ.
Ψεύτικη αίτηση συνέντευξης. Πηγή: blog.certfa.com
Το περιεχόμενο του email ήταν το εξής:
Γεια σας *** ***** ******
Το όνομά μου είναι Farnaz Fasihi. Είμαι δημοσιογράφος στην εφημερίδα Wall Street Journal.
Η ομάδα Μέσης Ανατολής του WSJ σκοπεύει να εισαγάγει επιτυχημένα μη ντόπια άτομα σε ανεπτυγμένες χώρες. Οι δραστηριότητές σας στους τομείς της έρευνας και της φιλοσοφίας της επιστήμης με οδήγησαν να σας παρουσιάσω ως επιτυχημένο Ιρανό. Ο διευθυντής της ομάδας της Μέσης Ανατολής μας ζήτησε να οργανώσουμε μια συνέντευξη μαζί σας και να μοιραστούμε μερικά από τα σημαντικά επιτεύγματά σας με το κοινό μας. Αυτή η συνέντευξη θα μπορούσε να παρακινήσει τους νέους της αγαπημένης μας χώρας να ανακαλύψουν τα ταλέντα τους και να προχωρήσουν προς την επιτυχία.
Περιττό να πούμε ότι αυτή η συνέντευξη είναι μεγάλη τιμή για μένα προσωπικά και σας προτρέπω να αποδεχτείτε την πρόσκλησή μου για τη συνέντευξη.
Οι ερωτήσεις σχεδιάζονται επαγγελματικά από μια ομάδα συναδέλφων μου και η συνέντευξη που θα προκύψει θα δημοσιευθεί στην ενότητα Weekly Interview του WSJ. Θα σας στείλω τις ερωτήσεις και τις απαιτήσεις της συνέντευξης μόλις αποδεχτείτε.
*Υποσημείωση: Το μη τοπικό αναφέρεται σε άτομα που γεννήθηκαν σε άλλες χώρες.
Σας ευχαριστώ για την καλοσύνη και την προσοχή σας.
Φαρνάζ Φασίχι
Οι σύνδεσμοι μέσα στα μηνύματα ηλεκτρονικού ταχυδρομείου ήταν σε μια σύντομη μορφή URL, που συχνά χρησιμοποιούνταν από παράγοντες απειλών για να συγκαλύψουν νόμιμους συνδέσμους πίσω από αυτά, με στόχο τη συλλογή δεδομένων διευθύνσεων IP, εκδόσεων προγράμματος περιήγησης και λειτουργικού συστήματος και πολλά άλλα. Αυτό βοήθησε να ανοίξει ο δρόμος για περαιτέρω επιθέσεις, χτίζοντας εμπιστοσύνη με επαναλαμβανόμενη επικοινωνία και προετοιμάζοντας τη στιγμή για δράση.
Μόλις εδραιωθεί η εμπιστοσύνη με την πάροδο του χρόνου, οι χάκερ στέλνουν έναν σύνδεσμο που περιέχει τις υποτιθέμενες ερωτήσεις συνέντευξης. Τα δείγματα της Ομάδας Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών στα Φαρσί (CERTFA) έδειξαν ότι οι εισβολείς χρησιμοποιούσαν μια μέθοδο που χρησιμοποιούσαν οι phishers τα τελευταία χρόνια, με σελίδες που φιλοξενούνται από τους Ιστότοπους Google.
Μόλις το θύμα ανοίξει τον σύνδεσμο, μπορεί να ανακατευθυνθεί σε μια άλλη ψεύτικη σελίδα που επιχειρεί να καταγράψει τα διαπιστευτήρια σύνδεσής του και τον κωδικό ελέγχου ταυτότητας δύο παραγόντων μέσω της χρήσης ενός κιτ phishing.
Σύνοψη των Επιχειρήσεων Charming Kitten
Το 2015 το πρώτο κύμα επιθέσεων phishing ανακαλύφθηκε από ερευνητές, ενώ αργότερα οι επιχειρήσεις κατασκοπείας σε μαζική κλίμακα ανακαλύφθηκαν από το 2016 έως το 2017 από ερευνητές στο ClearSky. Οι χειριστές του Charming Kitten χρησιμοποίησαν επιθέσεις πλαστοπροσωπίας, ψαρέματος με δόρυ και επιθέσεις.
Το 2018, οι κυβερνοεγκληματίες του Charming Kitten καταδίωξαν το ClearSky με έναν δόλιο ιστότοπο που υποδύθηκε την πύλη της εταιρείας ασφαλείας. Περισσότερες επιθέσεις εντοπίστηκαν εκείνη τη χρονιά εναντίον στόχων της Μέσης Ανατολής με ψεύτικη καμπάνια ηλεκτρονικού ταχυδρομείου και ψεύτικους ιστότοπους.
Το 2019, οι δραστηριότητες του Charming Kitten (APT35) επεκτάθηκαν στοχεύοντας μη Ιρανούς στις ΗΠΑ, τη Μέση Ανατολή και τη Γαλλία, με στόχευση δημοσίων προσώπων εκτός των ακαδημαϊκών δαιμόνων που επιδίωκαν αρχικά. Άρχισαν να επισυνάπτουν έναν ιχνηλάτη στην αλληλογραφία ηλεκτρονικού ταχυδρομείου τους για να ακολουθούν τα email που προωθούνται σε άλλους λογαριασμούς, με σκοπό να λάβουν δεδομένα γεωγραφικής τοποθεσίας.
>>>Ενημέρωση 10 Μαΐου 2020 - APT35 (Charming Kitten) Συμμετέχει στην καμπάνια hacking για τον COVID-19
Ένα σύνολο από δημόσια διαθέσιμα αρχεία Ιστού που εξετάστηκαν από ειδικούς στον τομέα της κυβερνοασφάλειας αποκάλυψε ότι η ιρανική ομάδα hacking γνωστή ως Charming Kitten, μεταξύ άλλων ονομάτων, βρισκόταν πίσω από μια κυβερνοεπίθεση τον Απρίλιο κατά της εταιρείας φαρμάκων με έδρα την Καλιφόρνια Gilead Sciences Inc που εμπλέκεται στην έρευνα για τον COVID-19.
Σε μία από τις περιπτώσεις που αντιμετώπισαν οι ερευνητές ασφάλειας, οι χάκερ χρησιμοποίησαν μια ψεύτικη σελίδα σύνδεσης email που είχε σχεδιαστεί ειδικά για να κλέβει κωδικούς πρόσβασης από ένα κορυφαίο στέλεχος της Gilead, που εμπλέκεται σε εταιρικές και νομικές υποθέσεις. Η επίθεση εντοπίστηκε σε έναν ιστότοπο που χρησιμοποιείται για τη σάρωση διευθύνσεων ιστού για κακόβουλη δραστηριότητα, αλλά οι ερευνητές δεν κατάφεραν να προσδιορίσουν εάν ήταν επιτυχής.
Ένας από τους αναλυτές που ερεύνησαν την επίθεση ήταν ο Ohad Zaidenberg από την ισραηλινή εταιρεία κυβερνοασφάλειας ClearSky. Σχολίασε ότι η επίθεση του Απριλίου κατά της Gilead ήταν μια προσπάθεια να παραβιαστούν εταιρικοί λογαριασμοί email με ένα μήνυμα που υποδύθηκε μια έρευνα δημοσιογράφου. Άλλοι αναλυτές, που δεν εξουσιοδοτήθηκαν να σχολιάσουν δημόσια, επιβεβαίωσαν έκτοτε ότι η επίθεση χρησιμοποίησε τομείς και διακομιστές που χρησιμοποιούνταν προηγουμένως από την ιρανική ομάδα hacking γνωστή ως Charming Kitten.
Trending APT Hacker Groups Chart - Πηγή: Securitystack.co
Η διπλωματική αποστολή του Ιράν στα Ηνωμένα Έθνη αρνήθηκε οποιαδήποτε ανάμειξη σε τέτοιες επιθέσεις, με τον εκπρόσωπο Alireza Miryousefi να δηλώνει ότι «η ιρανική κυβέρνηση δεν εμπλέκεται σε κυβερνοπόλεμο», προσθέτοντας ότι «οι δραστηριότητες στον κυβερνοχώρο στις οποίες εμπλέκεται το Ιράν είναι καθαρά αμυντικές και για προστασία από περαιτέρω επιθέσεις σε Ιρανικές υποδομές».
Η Gilead ακολούθησε την πολιτική της εταιρείας σχετικά με τη συζήτηση θεμάτων κυβερνοασφάλειας και αρνήθηκε να σχολιάσει. Η εταιρεία έχει λάβει μεγάλη προσοχή πρόσφατα, καθώς είναι ο κατασκευαστής του αντιιικού φαρμάκου remdesivir, το οποίο είναι προς το παρόν η μόνη θεραπεία που έχει αποδειχθεί ότι βοηθά ασθενείς που έχουν μολυνθεί από τον COVID-19. Η Gilead είναι επίσης μία από τις εταιρείες που ηγούνται της έρευνας και ανάπτυξης μιας θεραπείας για τη θανατηφόρα ασθένεια, καθιστώντας την πρωταρχικό στόχο για τις προσπάθειες συλλογής πληροφοριών.
