Viehättävä Kitten APT
Charming Kitten, joka tunnetaan myös nimellä APT35 , on kehittynyt jatkuva uhka, hakkeriryhmä, jolla on epäilty suhteita Iraniin. Ryhmä tunnetaan myös muilla nimillä: Phosphorus, Ajax Security Team ja Newscaster Team. Charming Kittenillä on havaittu poliittisia kampanjoita, mutta myös taloudellisia syitä. Ne on suunnattu ihmisoikeusaktivisteille, mediajärjestöille ja akateemiselle sektorille. Suurin osa heidän kampanjoistaan pyrki hyökkäämään Isoon-Britanniaan, Yhdysvaltoihin, Iraniin ja Israeliin.
Sisällysluettelo
Viehättävät kissanpentukampanjat
Yksi hakkeriryhmän laajimmista operaatioista suoritettiin HBO:ta vastaan vuonna 2017. Kyberrikolliset vuotivat noin teratavun dataa, joka sisälsi henkilötietoja yrityksen henkilökunnasta, tulevista esityksistä ja paljon muuta. Muita Charming Kittenin, eli APT35:n, järjestämiä hyökkäyksiä olivat pääsy yksityiskohtaisiin tietoihin Yhdysvaltain ilmavoimien loikkarin kautta ja israelilaisen kyberturvallisuusyrityksen verkkosivuston huijaus kirjautumistietojen varastamiseksi. Hyökkäys, joka sitoi heidät Iraniin, oli vuoden 2018 poliittisiin aktivisteihin suunnattu operaatio, joka vaikutti maahan kohdistetuihin pakotteisiin. Charming Kittenin työntekijät käyttivät tietojenkalasteluviestejä, joissa oli haitallisia liitteitä ja manipulointia, esiintyäkseen korkea-arvoisina ammattilaisina.
Iranilainen kulma viehättävälle kissanpennulle
Kohdistetut tietojenkalastelukampanjat olivat osa tapaa, jolla APT35 (Charming Kitten) harjoittaa liiketoimintaa, kuten nähtiin heidän vuoden 2019 kampanjastaan, jonka tarkoituksena oli esiintyä entisinä Wall Street Journalin toimittajina. He käyttivät tätä lähestymistapaa upottaakseen kyntensä uhriensa sisään lupaamalla haastatteluja tai kutsuja webinaareihin, joissa aiheina olivat usein Iranin ja kansainväliset asiat tuolloin.
Yhdessä näistä tapauksista hyökkääjät kirjoittivat arabiankielisen sähköpostin väärennetyllä henkilöllisyydellä, joka jäljitteli tosielämän Farnaz Fassihia, entistä Wall Street Journalin työntekijää, joka on työskennellyt julkaisun parissa 17 vuotta. Charming Kittenin työntekijät esittelivät tämän väärennetyn persoonallisuuden edelleen työskentelevän WSJ:ssä.
Väärä haastattelupyyntö. Lähde: blog.certfa.com
Sähköpostin sisältö oli seuraava:
Hei *** ***** ******
Nimeni on Farnaz Fasihi. Olen toimittaja Wall Street Journal -lehdessä.
WSJ:n Lähi-idän tiimi aikoo esitellä menestyviä ei-paikallisia henkilöitä kehittyneissä maissa. Toimintasi tutkimuksen ja tiedefilosofian aloilla sai minut esittelemään sinut menestyvänä iranilaisena. Lähi-idän tiimin johtaja pyysi meitä järjestämään haastattelun kanssasi ja jakamaan joitain tärkeitä saavutuksiasi yleisömme kanssa. Tämä haastattelu voisi motivoida rakkaan maamme nuoria löytämään kykynsä ja siirtymään kohti menestystä.
Sanomattakin on selvää, että tämä haastattelu on minulle henkilökohtaisesti suuri kunnia, ja kehotan teitä hyväksymään kutsuni haastatteluun.
Ryhmä kollegoitani suunnittelee kysymykset ammattimaisesti ja tuloksena saatu haastattelu julkaistaan WSJ:n Viikkohaastattelussa. Lähetän sinulle haastattelun kysymykset ja vaatimukset heti, kun hyväksyt.
*Alaviite: Ei-paikallinen tarkoittaa ihmisiä, jotka ovat syntyneet muissa maissa.
Kiitos ystävällisyydestäsi ja huomiostasi.
Farnaz Fasihi
Sähköpostien sisältämät linkit olivat lyhyessä URL-muodossa, ja uhkatekijät käyttivät niitä usein peittääkseen takanaan olevat oikeutetut linkit, joiden tarkoituksena oli kerätä tietoja IP-osoitteista, selain- ja käyttöjärjestelmäversioista ja muista. Tämä auttoi tasoittamaan tietä uusille hyökkäyksille rakentamalla luottamusta toistuvalla viestinnällä ja valmistautumalla hetkeen toimia.
Kun luottamus on muodostunut ajan myötä, hakkerit lähettävät linkin, joka sisältää väitetyt haastattelukysymykset. Computer Emergency Response Team in Farsi (CERTFA) -näytteet osoittivat, että hyökkääjät käyttivät tietojenkalastelujen viime vuosina käyttämää menetelmää Google-sivustojen isännöimillä sivuilla.
Kun uhri avaa linkin, hänet voidaan ohjata toiselle väärennetylle sivulle, joka yrittää tallentaa hänen kirjautumistietonsa ja kaksivaiheisen todennuskoodin tietojenkalastelupaketin avulla.
Yhteenveto viehättävän kissanpennun toiminnoista
Vuonna 2015 tutkijat havaitsivat tietojenkalasteluhyökkäysten ensimmäisen aallon, ja ClearSkyn tutkijat havaitsivat myöhemmin laajamittaisia vakoilutoimia vuosina 2016–2017. Charming Kitten -operaattorit käyttivät toisena henkilönä esiintymistä, keihäs-phishing- ja juoma-aukkojen hyökkäyksiä.
Vuonna 2018 Charming Kitten -verkkorikolliset ajoivat ClearSkyn perään petollisella verkkosivustolla, joka esiintyi turvayrityksen portaalina. Sinä vuonna tunnistettiin lisää hyökkäyksiä Lähi-idän kohteisiin valesähköpostikampanjalla ja väärennetyillä verkkosivustoilla.
Vuonna 2019 Charming Kitten (APT35) -toiminta laajeni kohdentamalla muita kuin iranilaisia Yhdysvalloissa, Lähi-idässä ja Ranskassa julkisuuden henkilöihin niiden akateemisten pahojen ulkopuolella, joita he alun perin etsivät. He alkoivat liittää sähköpostikirjeenvaihtoonsa seurantalaitteen seuratakseen muille tileille välitettyjä sähköposteja aikoen saada maantieteellisiä tietoja.
>>>Päivitys 10. toukokuuta 2020 – APT35 (Charming Kitten) mukana COVID-19-hakkerointikampanjassa
Kyberturvallisuusasiantuntijoiden tarkistama joukko julkisesti saatavilla olevia verkkoarkistoja paljasti, että muun muassa Charming Kitten -nimisenä tunnettu iranilainen hakkerointiryhmä oli huhtikuussa tapahtuneen kyberhyökkäyksen takana kalifornialaista Gilead Sciences Inc -lääkeyhtiötä vastaan, joka osallistui COVID-19-tutkimukseen.
Yhdessä tapauksista, joihin tietoturvatutkijat törmäsivät, hakkerit käyttivät väärää sähköpostin kirjautumissivua, joka oli erityisesti suunniteltu varastamaan salasanoja Gileadin ylimmältä johtajalta, joka oli mukana yritys- ja lakiasioissa. Hyökkäys löydettiin verkkosivustolta, jota käytetään verkko-osoitteiden tarkistamiseen haitallisen toiminnan varalta, mutta tutkijat eivät pystyneet päättämään, onnistuiko se.
Yksi hyökkäystä tutkineista analyytikoista oli Ohad Zaidenberg israelilaisesta kyberturvallisuusyrityksestä ClearSkystä. Hän kommentoi, että huhtikuun hyökkäys Gileadia vastaan oli yritys vaarantaa yritysten sähköpostitilit viestillä, joka matkii toimittajan kyselyä. Muut analyytikot, joilla ei ollut lupaa kommentoida julkisesti, ovat sittemmin vahvistaneet, että hyökkäys käytti verkkotunnuksia ja palvelimia, joita käytti aiemmin Charming Kitten -niminen iranilainen hakkerointiryhmä.
Trendaavat APT-hakkeriryhmät -taulukko - Lähde: Securitystack.co
Iranin diplomaattinen edustusto Yhdistyneissä Kansakunnissa on kiistänyt osallisuutensa tällaisiin hyökkäyksiin, ja tiedottaja Alireza Miryousefi totesi, että "Iranin hallitus ei käy kybersotaa", lisäsi "Iranin harjoittama kybertoiminta on puhtaasti puolustavaa ja suojelee uusia hyökkäyksiä vastaan. Iranin infrastruktuuri."
Gilead on noudattanut yrityksen politiikkaa kyberturvallisuusasioista keskustellessaan ja kieltäytyi kommentoimasta. Yritys on saanut viime aikoina paljon huomiota, sillä se valmistaa antiviraalista remdesivir-lääkettä, joka on tällä hetkellä ainoa hoito, jonka on todistettu auttavan COVID-19-tartunnan saaneita potilaita. Gilead on myös yksi tappavan taudin hoidon tutkimusta ja kehittämistä johtavista yrityksistä, mikä tekee siitä tiedonkeruupyrkimysten ensisijaisen kohteen.
