APT35

APT35 Kuvaus

apt35-hakkeriryhmät APT35 (Advanced Persistent Threat) on hakkerointiryhmä, jonka uskotaan olevan peräisin Iranista. Tämä hakkerointiryhmä tunnetaan myös useilla muilla aliaksilla – Newscaster Team, Phosphorus, Charming Kitten ja Ajax Security Team. APT35-hakkerointiryhmä on yleensä mukana sekä poliittisissa että taloudellisesti motivoituneissa kampanjoissa. APT35-hakkerointiryhmällä on tapana keskittää voimansa ihmisoikeusaktivismiin osallistuvia toimijoita, erilaisia mediajärjestöjä ja akateemista sektoria vastaan. Suurin osa kampanjoista toteutetaan Yhdysvalloissa, Israelissa, Iranissa ja Isossa-Britanniassa.

Suositut APT35-kampanjat

Yksi pahamaineisimmista APT35-operaatioista on vuonna 2017 tehty HBO:ta vastaan tehty operaatio. Siinä APT35 vuoti yli 1 teratavun dataa, joka koostui henkilöstön henkilötiedoista ja esityksistä, joita ei ollut vielä julkaistu virallisesti. Toinen surullisen kuuluisa APT35-kampanja, joka nosti heidät kartalle, on kampanja, johon osallistui myös Yhdysvaltain ilmavoimien loikkaaja. Kyseinen henkilö auttoi APT35:tä saamaan pääsyn turvaluokiteltuihin valtion tietoihin. Vuonna 2018 APT35-ryhmä rakensi verkkosivuston, jonka oli tarkoitus jäljitellä laillista israelilaista kyberturvallisuusyritystä. Ainoa ero oli, että väärennetyn verkkosivuston verkkotunnus oli hieman muutettu. Tämä kampanja auttoi APT35:tä saamaan joidenkin yrityksen asiakkaiden kirjautumistiedot. Viimeisin surullisen kuuluisa APT35-kampanja toteutettiin joulukuussa 2018. Tässä operaatiossa APT35-ryhmä toimi Charming Kitten -aliaksen alla. Tämä operaatio kohdistui useisiin poliittisiin aktivisteihin, joilla oli vaikutusvaltaa taloudellisissa pakotteissa sekä Iranille tuolloin asetettuihin sotilaallisiin pakotteisiin. APT35-ryhmä esiintyi korkea-arvoisina ammattilaisina samoilla aloilla kuin heidän kohteensa. Hyökkääjät käyttivät räätälöityjä phishing-sähköposteja, joissa oli väärennettyjä liitteitä, sekä vääriä sosiaalisen median profiileja.

Tietojenkalastelu väärillä haastattelusähköpostiviesteillä

Kohdistetut tietojenkalastelukampanjat ovat osa Charming Kittenin toimintatapoja, ja hakkerit käyttävät väärennettyjä sähköposteja ja sosiaalista manipulointia toteutusmenetelminä. Yhdessä vuoden 2019 kampanjassa Charming Kitten -ryhmä esiintyi Wall Street Journalin (WSJ) entisinä toimittajina ja lähestyi uhrejaan valehaastatteluskenaariolla. Ryhmä on myös havaittu käyttävän erilaisia skenaarioita, kuten "CNN-haastattelu" ja "Kutsu Deutsche Welle Webinar -ohjelmaan", yleensä Iranin ja kansainvälisten asioiden aiheiden ympärillä.

Yhdessä tietyssä tapauksessa hyökkääjät loivat arabiaksi valheellisen sähköpostin käyttäen Farnaz Fassihin, tällä hetkellä New York Timesin toimittajan, henkilöllisyyttä, joka oli aiemmin työskennellyt The Wall Street Journalissa 17 vuotta. Mielenkiintoista kyllä, hakkerit esittelivät Farnaz Fassihin työskentelevän hänen entisen työnantajansa, The Wall Street Journalin, palveluksessa.


Väärennetyn haastattelupyynnön sähköposti - Lähde: blog.certfa.com

Sähköpostin käännös:

Hei *** ***** ******
Nimeni on Farnaz Fasihi. Olen toimittaja Wall Street Journal -lehdessä.
WSJ:n Lähi-idän tiimi aikoo esitellä menestyviä ei-paikallisia henkilöitä kehittyneissä maissa. Toimintasi tutkimuksen ja tiedefilosofian aloilla sai minut esittelemään sinut menestyvänä iranilaisena. Lähi-idän tiimin johtaja pyysi meitä järjestämään haastattelun kanssasi ja jakamaan joitain tärkeitä saavutuksiasi yleisöllemme. Tämä haastattelu voisi motivoida rakkaan maamme nuoria löytämään kykynsä ja siirtymään kohti menestystä.
Sanomattakin on selvää, että tämä haastattelu on suuri kunnia minulle henkilökohtaisesti, ja kehotan teitä hyväksymään kutsuni haastatteluun.
Kysymykset on ammattimaisesti suunnitellut ryhmä kollegoitani ja tuloksena saatu haastattelu julkaistaan WSJ:n Viikkohaastattelussa. Lähetän sinulle haastattelun kysymykset ja vaatimukset heti, kun hyväksyt.
*Alaviite: Ei-paikallinen tarkoittaa ihmisiä, jotka ovat syntyneet muissa maissa.
Kiitos ystävällisyydestäsi ja huomiostasi.
Farnaz Fasihi

Kaikki sähköpostien sisältämät linkit olivat lyhennetyssä URL-muodossa, jota hakkerit käyttivät ohjaamaan uhrinsa laillisiin osoitteisiin ja keräämään tärkeitä tietoja laitteistaan, kuten käyttöjärjestelmästä, selaimesta ja IP-osoitteesta. Näitä tietoja tarvittiin hakkereilta valmisteltaessa päähyökkäystä kohteitaan vastaan.


Esimerkki väärennetystä WSJ-sivusta, jota isännöidään Google-sivustoissa – Lähde: blog.certfa.com

Luotuaan suhteellisen luottamuksen aiottuun kohteeseen hakkerit lähettävät heille ainutlaatuisen linkin, joka väitti sisältävän haastattelukysymykset. Farsi-kielisen Computer Emergency Response Teamin (CERTFA) testaamien näytteiden mukaan hyökkääjät käyttävät suhteellisen uutta menetelmää, joka on saavuttanut paljon suosiota tietojenkalastelujen keskuudessa viimeisen vuoden aikana, isännöimällä sivuja Google-sivustoissa.

Kun uhri napsauttaa Lataa-painiketta Google-sivustosivulla, hänet ohjataan toiselle väärennetylle sivulle, joka yrittää kerätä kirjautumistiedot hänen sähköpostiosoitteestaan ja kaksivaiheisen todennuskoodin avulla Modlishkan kaltaisten tietojenkalastelusarjojen avulla.

APT35:n DownPaper-haittaohjelma

DownPaper-työkalu on takaoven troijalainen, jota käytetään enimmäkseen ensimmäisen vaiheen hyötykuormana ja jolla on seuraavat ominaisuudet:

  • Muodosta yhteys hyökkääjän C&C (Command & Control) -palvelimeen ja vastaanota komentoja ja haitallisia hyötykuormia, jotka suoritetaan soluttautuneella isännällä.
  • Lisää pysyvyyttä muuttamalla Windowsin rekisteriä.
  • Kerää tietoja vaarantuneesta järjestelmästä, kuten laitteisto- ja ohjelmistotiedot.
  • Suorita CMD- ja PowerShell-komennot.

APT35-hakkerointiryhmä on erittäin sinnikäs ryhmä yksilöitä, ja on epätodennäköistä, että he aikovat lopettaa toimintansa lähiaikoina. Kun otetaan huomioon, että poliittinen ilmapiiri Iranin ympärillä on kuumentunut jo jonkin aikaa, on todennäköistä, että kuulemme APT35-ryhmän kampanjoista jatkossakin.

Päivitys 10. toukokuuta 2020 – APT35 mukana COVID-19-hakkerointikampanjassa

Kyberturvallisuusasiantuntijoiden tarkistama joukko julkisesti saatavilla olevia verkkoarkistoja paljasti, että muun muassa Charming Kitten -nimisenä tunnettu iranilainen hakkerointiryhmä oli huhtikuussa tapahtuneen kyberhyökkäyksen takana kalifornialaista Gilead Sciences Inc -lääkeyhtiötä vastaan, joka osallistui COVID-19-tutkimukseen.

Yhdessä tapauksista, joihin tietoturvatutkijat törmäsivät, hakkerit käyttivät väärää sähköpostin kirjautumissivua, joka oli erityisesti suunniteltu varastamaan salasanoja Gileadin ylimmältä johtajalta, joka oli mukana yritys- ja lakiasioissa. Hyökkäys löydettiin verkkosivustolta, jota käytetään verkko-osoitteiden tarkistamiseen haitallisen toiminnan varalta, mutta tutkijat eivät pystyneet päättämään, onnistuiko se.

trendaavat apt hakkeriryhmät
Trendaavat APT-hakkeriryhmät -taulukko - Lähde: Securitystack.co

Yksi hyökkäystä tutkineista analyytikoista oli Ohad Zaidenberg israelilaisesta kyberturvallisuusyrityksestä ClearSkystä. Hän kommentoi, että huhtikuun hyökkäys Gileadia vastaan oli yritys vaarantaa yritysten sähköpostitilit viestillä, joka matkii toimittajan kyselyä. Muut analyytikot, joilla ei ollut lupaa kommentoida julkisesti, ovat sittemmin vahvistaneet, että hyökkäys käytti verkkotunnuksia ja palvelimia, joita käytti aiemmin Charming Kitten -niminen iranilainen hakkerointiryhmä.

Iranin diplomaattinen edustusto Yhdistyneissä Kansakunnissa on kiistänyt osallisuutensa tällaisiin hyökkäyksiin , ja tiedottaja Alireza Miryousefi totesi, että "Iranin hallitus ei aloita kybersotaa", lisäsi "Iranin harjoittama kybertoiminta on puhtaasti puolustavaa ja suojelee uusia hyökkäyksiä vastaan. Iranin infrastruktuuri."

kohteena maihin iraniin hyökkääjät
Iranin viimeaikaisissa kyberkampanjoissa kohdistetut maat - Lähde: Stratfor.com

Gilead on noudattanut yrityksen politiikkaa kyberturvallisuusasioista keskustellessaan ja kieltäytyi kommentoimasta. Yritys on saanut viime aikoina paljon huomiota, sillä se valmistaa viruslääkettä remdesivir, joka on tällä hetkellä ainoa hoito, jonka on todistettu auttavan COVID-19-tartunnan saaneita potilaita. Gilead on myös yksi tappavan taudin hoidon tutkimusta ja kehittämistä johtavista yrityksistä, mikä tekee siitä tiedonkeruupyrkimysten ensisijaisen kohteen.