Võluv kassipoeg APT
Charming Kitten, tuntud ka kui APT35 , on arenenud püsioht, häkkerirühmitus, kellel on kahtlustatavad sidemed Iraaniga. Grupp on tuntud ka teiste nimede all: Phosphorus, Ajax Security Team ja Newscaster Team. Võluval Kittenil on täheldatud poliitiliselt motiveeritud kampaaniaid, aga ka rahalisi põhjuseid. Need on suunatud inimõiguste aktivistidele, meediaorganisatsioonidele ja akadeemilisele sektorile. Enamik nende kampaaniatest oli suunatud rünnakutele Ühendkuningriigi, USA, Iraani ja Iisraeli vastu.
Sisukord
Võluvad kassipoegade kampaaniad
Häkkerite rühmituse üks ulatuslikumaid operatsioone viidi 2017. aastal läbi HBO vastu. Küberkurjategijad lekitasid umbes terabaidi andmeid koos isikliku teabega ettevõtte töötajate, tulevaste saadete ja muu kohta. Teised Charming Kitteni ehk APT35 korraldatud rünnakud hõlmasid juurdepääsu üksikasjalikele andmetele USA õhujõudude defektija kaudu ja Iisraeli küberjulgeolekuettevõtte veebisaidi võltsimist, et varastada sisselogimisandmeid. Rünnak, mis sidus nad Iraaniga, oli 2018. aastal poliitiliste aktivistide vastu suunatud operatsioon, mis mõjutas riigi vastu suunatud sanktsioone. Charming Kitteni töötajad kasutasid pahatahtlike manuste ja sotsiaalse manipuleerimisega andmepüügimeile, et esineda kõrgetasemeliste professionaalidena.
Iraani nurk võluva kassipoja jaoks
Sihitud andmepüügikampaaniad olid osa APT35 (Charming Kitten) äritegevusest, nagu võis näha nende 2019. aasta kampaaniast, mille eesmärk oli kehastada endisi Wall Street Journali ajakirjanikke. Nad kasutasid seda lähenemisviisi, et uputada küünised oma ohvritesse, lubades intervjuusid või kutseid veebiseminaridele, mis olid sageli sel ajal Iraani ja rahvusvaheliste suhete teemadel.
Ühel neist juhtumitest koostasid ründajad araabiakeelse e-kirja võltsitud identiteedi all, imiteerides tegelikku Farnaz Fassihit, endist Wall Street Journali töötajat, kes on väljaandes töötanud 17 aastat. Charming Kitten'i töötajad esitlesid seda võltsisikut kui endiselt WSJ-s töötavat.
Võlts intervjuutaotlus. Allikas: blog.certfa.com
Meili sisu oli järgmine:
Tere *** ***** ******
Minu nimi on Farnaz Fasihi. Olen ajalehe Wall Street Journal ajakirjanik.
WSJ Lähis-Ida meeskond kavatseb tutvustada arenenud riikides edukaid mittekohalikke inimesi. Teie tegevus teadusuuringute ja teadusfilosoofia vallas viis mind tutvustama teid kui edukat iraanlast. Lähis-Ida meeskonna direktor palus meil korraldada teiega intervjuu ja jagada mõningaid teie olulisi saavutusi meie publikuga. See intervjuu võib motiveerida meie armastatud riigi noori oma andeid avastama ja edu poole liikuma.
Ütlematagi selge, et see intervjuu on mulle isiklikult suur au ja ma kutsun teid üles minu kutse intervjuule vastu võtma.
Küsimused on koostanud professionaalselt rühm minu kolleege ja sellest tulenev intervjuu avaldatakse WSJ nädalaintervjuu rubriigis. Saadan teile intervjuu küsimused ja nõuded kohe, kui nõustute.
* Joonealune märkus: mittekohalik viitab inimestele, kes on sündinud teistes riikides.
Tänan teid lahkuse ja tähelepanu eest.
Farnaz Fasihi
Meilides sisalduvad lingid olid lühikeses URL-i vormingus, mida ohutegijad kasutasid sageli nende taga olevate seaduslike linkide varjamiseks, eesmärgiga koguda andmeid IP-aadresside, brauseri ja OS-i versioonide ja muu kohta. See aitas sillutada teed edasistele rünnakutele, luues korduva suhtlusega usaldust ja valmistudes hetkeks tegutsemiseks.
Kui usaldus on aja jooksul loodud, saadavad häkkerid välja lingi, mis sisaldab väidetavaid intervjuuküsimusi. Farsi arvutite hädaolukordade lahendamise meeskonna (CERTFA) näidised näitasid, et ründajad kasutasid meetodit, mida andmepüüdjad on viimastel aastatel kasutanud Google Sitesi hostitud lehtede puhul.
Kui ohver lingi avab, võidakse ta suunata teisele võltslehele, mis üritab andmepüügikomplekti abil salvestada tema sisselogimismandaate ja kaheastmelist autentimiskoodi.
Kokkuvõte võluvatest kassipoegade operatsioonidest
2015. aastal avastasid teadlased esimese andmepüügirünnakute laine, hiljem avastasid ClearSky teadlased ulatuslikud spionaažioperatsioonid aastatel 2016–2017. Charming Kitten'i operaatorid kasutasid kellegi teisena esinemist, andmepüüki ja rünnakuid.
2018. aastal läksid Charming Kitteni küberkurjategijad ClearSkyle jälile petturliku veebisaidiga, mis kehastas turvafirma portaali. Sel aastal tuvastati rohkem ründeid Lähis-Ida sihtmärkide vastu võltsmeilikampaania ja võltsveebisaitidega.
2019. aastal laienes Charming Kitten (APT35) tegevus, sihikule võeti mitte-iraanlased USA-s, Lähis-Idas ja Prantsusmaal, sihikule võeti avaliku elu tegelasi väljaspool akadeemilisi vaenulikke, keda nad algselt otsisid. Nad hakkasid oma meilikirjadele lisama jälgijat, et jälgida teistele kontodele edastatud e-kirju, et saada geograafilise asukoha andmeid.
>>>Värskendus 10. mai 2020 – APT35 (võluv kassipoeg) on seotud COVID-19 häkkimise kampaaniaga
Küberjulgeolekuekspertide poolt üle vaadatud avalikult kättesaadavate veebiarhiivide kogum näitas, et teiste nimede hulgas oli Charming Kittenina tuntud Iraani häkkimisrühmitus, kes oli aprillikuu küberrünnaku taga Californias asuva Gilead Sciences Inc.-i ravimifirma vastu, mis oli seotud COVID-19 uuringutega.
Ühel juhtumil, millega turvauurijad kokku puutusid, kasutasid häkkerid võltsitud e-posti sisselogimislehte, mis oli spetsiaalselt loodud paroolide varastamiseks Gileadi tippjuhilt, kes on seotud ettevõtete ja juriidiliste asjadega. Rünnak leiti veebisaidilt, mida kasutatakse veebiaadresside skannimiseks pahatahtliku tegevuse tuvastamiseks, kuid teadlased ei suutnud kindlaks teha, kas see oli edukas.
Üks rünnakut uurinud analüütikutest oli Ohad Zaidenberg Iisraeli küberjulgeolekufirmast ClearSky. Ta kommenteeris, et aprillikuine rünnak Gileadi vastu oli katse kompromiteerida ettevõtete e-posti kontosid sõnumiga, mis kehastas ajakirjaniku päringut. Teised analüütikud, kellel ei olnud luba avalikult kommenteerida, on sellest ajast alates kinnitanud, et rünnak kasutas domeene ja servereid, mida varem kasutas Iraani häkkimisrühmitus, tuntud kui Charming Kitten.
Populaarsete APT häkkerite gruppide diagramm – Allikas: Securitystack.co
Iraani diplomaatiline esindus ÜRO juures on eitanud oma seotust selliste rünnakutega ning pressiesindaja Alireza Miryousefi teatas, et "Iraani valitsus ei osale kübersõjas," lisas: "Iraani kübertegevus on puhtalt kaitselik ja kaitseb edasiste rünnakute eest. Iraani taristu."
Gilead on küberjulgeoleku küsimuste arutamisel järginud ettevõtte poliitikat ja keeldus kommentaaridest. Ettevõte on pälvinud viimasel ajal palju tähelepanu, kuna toodab viirusevastast ravimit remdesivir, mis on hetkel ainus ravi, mis on tõestanud, et aitab COVID-19-ga nakatunud patsiente. Gilead on ka üks ettevõtteid, kes juhib surmava haiguse ravi uurimist ja arendamist, muutes selle luureandmete kogumise peamiseks sihtmärgiks.
