APT35

APT35 Kirjeldus

apt35 häkkerite rühma rünnakud APT35 (Advanced Persistent Threat) on häkkimisrühmitus, mis arvatakse pärinevat Iraanist. Seda häkkimisgruppi tuntakse ka mitme teise varjunime all – Newscaster Team, Phosphorus, Charming Kitten ja Ajax Security Team. APT35 häkkimisrühm on tavaliselt seotud nii poliitiliselt motiveeritud kui ka rahaliselt motiveeritud kampaaniatega. APT35 häkkimisrühm kipub koondama oma jõupingutused inimõigusaktivismiga seotud osalejate, erinevate meediaorganisatsioonide ja peamiselt akadeemilise sektori vastu. Enamik kampaaniaid viiakse läbi USA-s, Iisraelis, Iraanis ja Ühendkuningriigis.

Populaarsed APT35 kampaaniad

Üks kurikuulsamaid APT35 operatsioone on 2017. aastal HBO vastu läbiviidud operatsioon. Selles lekkis APT35 üle 1 TB andmeid, mis koosnes töötajate isikuandmetest ja saadetest, mis pidid veel ametlikult eetrisse jõudma. Teine kurikuulus APT35 kampaania, mis nad kaardile pani, on kampaania, mis hõlmas ka USA õhujõudude ülejooksikut. Kõnealune isik aitas APT35-le juurdepääsu salastatud valitsuse andmetele. 2018. aastal lõi APT35 grupp veebisaidi, mis pidi jäljendama seaduslikku Iisraeli küberjulgeolekuettevõtet. Ainus erinevus seisnes selles, et võltsveebisaidil oli veidi muudetud domeeninimi. See kampaania aitas APT35-l hankida mõne ettevõtte kliendi sisselogimisandmed. Viimane kurikuulus kampaania, mis hõlmas APT35, viidi läbi detsembris 2018. Selles operatsioonis tegutses APT35 grupp Charming Kitten varjunime all. See operatsioon oli suunatud erinevatele poliitilistele aktivistidele, kellel oli mõju nii majandussanktsioonides kui ka tol ajal Iraanile kehtestatud sõjalistes sanktsioonides. APT35 rühm esines kõrgetasemeliste spetsialistidena, kes tegelesid nende sihtmärkidega samades valdkondades. Ründajad kasutasid kohandatud andmepüügimeile, mis kandsid võltsitud manuseid, samuti võltsitud sotsiaalmeedia profiile.

Andmepüük võltsitud intervjuumeilidega

Sihitud andmepüügikampaaniad on osa Charming Kitteni tööviisist, kusjuures häkkerid kasutavad täitmismeetoditena võltsitud e-kirju ja sotsiaalset manipuleerimist. Ühes 2019. aasta kampaanias esines rühmitus Charming Kitten endiste Wall Street Journali (WSJ) ajakirjanikena ja pöördus nende ohvrite poole võltsintervjuu stsenaariumiga. Gruppi on märgatud ka erinevate stsenaariumide, näiteks "CNN-i intervjuu" ja "Kutse Deutsche Welle Webinar" kasutamisel, tavaliselt Iraani ja rahvusvaheliste suhete teemadel.

Ühel konkreetsel juhul lõid ründajad araabiakeelse võltsmeili, kasutades praegu New York Timesi ajakirjaniku Farnaz Fassihi identiteeti, kes oli varem töötanud The Wall Street Journalis 17 aastat. Huvitaval kombel esitlesid häkkerid, et Farnaz Fassihi töötab tema endise tööandja The Wall Street Journali juures.


Võltsitud intervjuusoovi meil - Allikas: blog.certfa.com

Meili tõlge:

Tere *** ***** ******
Minu nimi on Farnaz Fasihi. Olen ajalehe Wall Street Journal ajakirjanik.
WSJ Lähis-Ida meeskond kavatseb tutvustada arenenud riikides edukaid mittekohalikke inimesi. Teie tegevus teadusuuringute ja teadusfilosoofia vallas viis mind tutvustama teid kui edukat iraanlast. Lähis-Ida meeskonna direktor palus meil korraldada teiega intervjuu ja jagada mõningaid teie olulisi saavutusi meie publikuga. See intervjuu võib motiveerida meie armastatud riigi noori oma andeid avastama ja edu poole liikuma.
Ütlematagi selge, et see intervjuu on mulle isiklikult suur au ja ma kutsun teid üles minu kutse intervjuule vastu võtma.
Küsimused on koostanud professionaalselt grupp minu kolleege ja sellest tulenev intervjuu avaldatakse WSJ nädalaintervjuu rubriigis. Saadan teile intervjuu küsimused ja nõuded kohe, kui nõustute.
* Joonealune märkus: mittekohalik viitab inimestele, kes on sündinud teistes riikides.
Tänan teid lahkuse ja tähelepanu eest.
Farnaz Fasihi

Kõik e-kirjades sisalduvad lingid olid lühendatud URL-i vormingus, mida häkkerid kasutasid ohvrite õigetele aadressidele suunamiseks, kogudes samal ajal olulist teavet oma seadmete kohta, nagu operatsioonisüsteem, brauser ja IP-aadress. Seda teavet vajati häkkeritelt, et valmistuda peamiseks rünnakuks nende sihtmärkide vastu.


Näidis võltsitud WSJ-lehest, mida hostitakse Google Sites – Allikas: blog.certfa.com

Pärast suhtelise usalduse loomist kavandatava sihtmärgiga saadavad häkkerid neile ainulaadse lingi, mis väidetavalt sisaldab intervjuu küsimusi. Farsi keeles Computer Emergency Response Team (CERTFA) testitud näidiste kohaselt kasutavad ründajad suhteliselt uut meetodit, mis on viimase aasta jooksul andmepüüdjate seas palju populaarsust kogunud, majutades lehti Google Sites.

Kui ohver klõpsab Google'i saidi lehel nuppu "Laadi alla", suunatakse ta teisele võltslehele, mis püüab andmepüügikomplektide, nagu Modlishka, abil koguda nende e-posti aadressi ja kahefaktorilise autentimiskoodi sisselogimismandaate.

APT35 DownPaper pahavara

DownPaperi tööriist on tagaukse troojalane, mida kasutatakse enamasti esimese etapi kasuliku koormana ja millel on järgmised võimalused:

  • Looge ühendus ründaja C&C (Command & Control) serveriga ning võtke vastu käske ja kahjulikke kasulikke koormusi, mis tuleb käivitada sissetunginud hostis.
  • Suurendage püsivust, muutes Windowsi registrit.
  • Koguge teavet ohustatud süsteemi kohta, näiteks riist- ja tarkvaraandmeid.
  • Käivitage CMD ja PowerShelli käsud.

APT35 häkkimisrühm on väga püsiv inimeste rühm ja on ebatõenäoline, et nad kavatsevad oma tegevuse niipea peatada. Arvestades, et poliitiline kliima Iraani ümber on juba mõnda aega kuumenenud, kuuleme tõenäoliselt APT35 grupi kampaaniatest ka tulevikus.

Värskendus 10. mai 2020 – APT35 on seotud COVID-19 häkkimise kampaaniaga

Küberjulgeolekuekspertide poolt üle vaadatud avalikult kättesaadavate veebiarhiivide kogum näitas, et teiste nimede hulgas oli Charming Kittenina tuntud Iraani häkkimisrühmitus, kes oli aprillikuu küberrünnaku taga Californias asuva Gilead Sciences Inc.-i ravimifirma vastu, mis oli seotud COVID-19 uuringutega.

Ühel juhtumil, millega turbeuurijad kokku puutusid, kasutasid häkkerid võltsitud e-posti sisselogimislehte, mis oli spetsiaalselt loodud paroolide varastamiseks Gileadi tippjuhilt, kes on seotud ettevõtete ja juriidiliste asjadega. Rünnak leiti veebisaidilt, mida kasutatakse veebiaadresside skannimiseks pahatahtliku tegevuse tuvastamiseks, kuid teadlased ei suutnud kindlaks teha, kas see oli edukas.

trendikad apt häkkerirühmad
Populaarsete APT häkkerite gruppide diagramm – Allikas: Securitystack.co

Üks rünnakut uurinud analüütikutest oli Ohad Zaidenberg Iisraeli küberjulgeolekufirmast ClearSky. Ta kommenteeris, et aprillikuine rünnak Gileadi vastu oli katse kompromiteerida ettevõtete e-posti kontosid sõnumiga, mis kehastas ajakirjaniku päringut. Teised analüütikud, kellel ei olnud luba avalikult kommenteerida, on sellest ajast alates kinnitanud, et rünnak kasutas domeene ja servereid, mida varem kasutas Iraani häkkimisrühmitus, tuntud kui Charming Kitten.

Iraani diplomaatiline esindus ÜRO juures on eitanud oma seotust selliste rünnakutega ning pressiesindaja Alireza Miryousefi teatas, et "Iraani valitsus ei osale kübersõjas," lisas: "Iraani kübertegevus on puhtalt kaitsev ja kaitseb edasiste rünnakute eest. Iraani taristu."

sihikule võtnud Iraani ründajad
Hiljutistes Iraani küberkampaaniates sihitud riigid – Allikas: Stratfor.com

Gilead on küberjulgeoleku küsimuste arutamisel järginud ettevõtte poliitikat ja keeldus kommentaaridest. Ettevõte on pälvinud viimasel ajal palju tähelepanu, kuna toodab viirusevastast ravimit remdesivir, mis on hetkel ainus ravi, mis on tõestanud, et see aitab COVID-19-ga nakatunud patsiente. Gilead on ka üks ettevõtteid, kes juhib surmava haiguse ravi uurimist ja arendamist, muutes selle luureandmete kogumise peamiseks sihtmärgiks.