מקסים חתלתול APT

מקסים חתלתול APT תיאור

Charming Kitten, הידוע גם בשם APT35 , הוא איום מתמשך מתקדם, קבוצת האקרים עם חשד לקשרים איראניים. הקבוצה ידועה גם בשמות אחרים: זרחן, צוות הביטחון של אייאקס וצוות החדשות. לחתול המקסים נצפו קמפיינים ממניעים פוליטיים, אבל גם כאלה שמניעים מסיבות כלכליות. הם מכוונים לפעילי זכויות אדם, ארגוני תקשורת והמגזר האקדמי. רוב הקמפיינים שלהם דחפו להתקפות על בריטניה, ארצות הברית, איראן וישראל.

קמפיינים של חתלתולים מקסימים

אחת הפעולות הנרחבות יותר שבוצעה על ידי קבוצת ההאקרים בוצעה נגד HBO בשנת 2017. פושעי הסייבר דלפו על טרה-בייט של נתונים עם מידע אישי על צוות החברה, הופעות קרובות ועוד. התקפות אחרות שביים Charming Kitten, הידוע גם בשם APT35 כללו גישה לנתונים מפורטים דרך עריק חיל האוויר האמריקאי וזיוף אתר של חברת אבטחת סייבר ישראלית כדי לגנוב פרטי כניסה. המתקפה שקשרה אותם לאיראן הייתה מבצע ב-2018 שכוון נגד פעילים פוליטיים שהשפיע על הסנקציות נגד המדינה. פעילי חתלתולים מקסימים השתמשו בדוא"ל דיוג עם קבצים מצורפים זדוניים ובהנדסה חברתית כדי להתחזות למקצוענים בדירוג גבוה.

הזווית האיראנית לחתלתול מקסים

קמפיינים דיוגים ממוקדים היו חלק מהדרך שבה ה-APT35 (Charming Kitten) עושה עסקים, כפי שניתן היה לראות עם הקמפיין שלהם לשנת 2019 שמטרתו התחזות לעיתונאים לשעבר בוול סטריט ג'ורנל. הם השתמשו בגישה הזו כדי להטביע את ציפורניהם בקורבנותיהם עם הבטחה לראיונות או הזמנות לסמינרים מקוונים, לעתים קרובות בנושאים של איראן ועניינים בינלאומיים באותה תקופה.
באחד המקרים הללו, התוקפים חיברו מייל בערבית בזהות הבדויה המחקה את פרנאז פאסיהי, עובד לשעבר בוול סטריט ג'ורנל עם 17 שנות עבודה עבור הפרסום. פעילי החתלתולים המקסימים הציגו את הפרסונה המזויפת הזו כמי שעדיין עובדים עבור WSJ.

בקשת ראיון מזויפת. מקור: blog.certfa.com

תוכן האימייל היה כדלקמן:

שלום *** ***** ******
שמי פרנז פאסיהי. אני עיתונאי בעיתון וול סטריט ג'ורנל.
צוות המזרח התיכון של WSJ מתכוון להציג אנשים מצליחים שאינם מקומיים במדינות מפותחות. הפעילות שלך בתחומי המחקר והפילוסופיה של המדע הביאה אותי להציג אותך כאיראני מצליח. מנהל צוות המזרח התיכון ביקש מאיתנו לקבוע איתך ראיון ולשתף את הקהל שלנו בכמה מההישגים החשובים שלך. ראיון זה יכול להניע את בני הנוער של ארצנו האהובה לגלות את כישרונותיהם ולהתקדם לעבר הצלחה.
מיותר לציין שהראיון הזה הוא כבוד גדול עבורי באופן אישי, ואני מפציר בכם להיענות להזמנתי לראיון.
השאלות מעוצבות באופן מקצועי על ידי קבוצה מעמיתיי והראיון שיתקבל יפורסם במדור הראיונות השבועיים של ה-WSJ. אשלח לך את השאלות והדרישות של הראיון ברגע שתסכים.
*הערת שוליים: לא מקומי מתייחס לאנשים שנולדו במדינות אחרות.
תודה על האדיבות ותשומת הלב.
פרנאז פאסיהי

הקישורים בתוך המיילים היו בפורמט כתובת URL קצר, המשמש לעתים קרובות על ידי גורמי איומים כדי להסוות קישורים לגיטימיים מאחוריהם, במטרה לאיסוף נתונים של כתובות IP, גרסאות דפדפן ומערכת הפעלה ועוד. זה עזר לסלול את הדרך להתקפות נוספות על ידי בניית אמון עם תקשורת חוזרת והכנה לרגע לפעול.

לאחר יצירת אמון לאורך זמן, ההאקרים שולחים קישור המכיל את שאלות הראיון לכאורה. דגימות של צוות תגובת חירום מחשבים בפרסית (CERTFA) הראו שהתוקפים השתמשו בשיטה שבה השתמשו דיוגים בשנים האחרונות, עם דפים המתארחים ב-Google Sites.

ברגע שהקורבן יפתח את הקישור, הוא עשוי להיות מנותב לדף מזויף אחר שמנסה להקליט את אישורי הכניסה וקוד האימות הדו-גורמי שלו באמצעות ערכת דיוג.

סיכום מבצעי חתלתולים מקסימים

בשנת 2015 התגלה הגל הראשון של התקפות דיוג על ידי חוקרים, כאשר פעולות ריגול מאוחרות יותר בקנה מידה עצום התגלו מ-2016 עד 2017 על ידי חוקרים ב-ClearSky. מפעילי החתלתולים המקסימים השתמשו בהתחזות, דיוג בחנית והתקפות של בורות מים.

בשנת 2018 פושעי סייבר של Charming Kitten רדפו אחרי ClearSky עם אתר הונאה המתחזה לפורטל של חברת האבטחה. התקפות נוספות זוהו באותה שנה נגד יעדים במזרח התיכון עם קמפיין אימייל מזויף ואתרי אינטרנט מזויפים.

בשנת 2019 הפעילויות של Charming Kitten (APT35) התרחבו על ידי מיקוד של לא-איראנים בארה"ב, במזרח התיכון ובצרפת, עם מיקוד לאישים ציבוריים מחוץ לחברות האקדמיות שאליהם הם רצו בתחילה. הם החלו לצרף עוקב להתכתבות האימייל שלהם כדי לעקוב אחר מיילים שהועברו לחשבונות אחרים, מתוך כוונה להשיג נתוני מיקום גיאוגרפי.

>>>עדכון 10 במאי 2020 - APT35 (חתלתול מקסים) מעורב בקמפיין פריצה ל-COVID-19

קבוצה של ארכיוני אינטרנט זמינים לציבור שנבדקו על ידי מומחי אבטחת סייבר חשפו כי קבוצת הפריצה האיראנית הידועה בשם Charming Kitten, בין היתר, עמדה מאחורי מתקפת סייבר באפריל נגד חברת תרופות מקליפורניה מבית Gilead Sciences Inc, המעורבת במחקר COVID-19.

באחד המקרים שבהם נתקלו חוקרי האבטחה, ההאקרים השתמשו בדף התחברות מזויף לדוא"ל שתוכנן במיוחד כדי לגנוב סיסמאות מבכירי גלעד, המעורבים בענייני תאגידים ומשפטים. המתקפה נמצאה באתר אינטרנט המשמש לסריקת כתובות אינטרנט לאיתור פעילות זדונית, אך החוקרים לא הצליחו לקבוע אם היא הצליחה.
אחד האנליסטים שחקרו את המתקפה היה אוהד זיידנברג מחברת אבטחת הסייבר הישראלית ClearSky. הוא העיר כי המתקפה נגד גלעד באפריל הייתה מאמץ לסכן חשבונות אימייל ארגוניים עם הודעה שהתחזה לחקירה של עיתונאי. אנליסטים אחרים, שלא היו מורשים להגיב בפומבי אישרו מאז שהמתקפה השתמשה בדומיינים ושרתים ששימשו בעבר את קבוצת הפריצה האיראנית הידועה בשם Charming Kitten.

קבוצות האקרים מתאימות

תרשים קבוצות האקרים מגמתיות של APT - מקור: Securitystack.co

הנציגות הדיפלומטית של איראן באו"ם הכחישה כל מעורבות בהתקפות מסוג זה, כאשר הדובר אלירזה מיריוסי קבע כי "הממשלה האיראנית אינה עוסקת בלוחמת סייבר", והוסיפה "פעילויות הסייבר שבהן עוסקת איראן הן הגנתיות בלבד וכדי להגן מפני התקפות נוספות על תשתית איראנית".

גילעד עקבה אחר מדיניות החברה בנוגע לדיון בענייני אבטחת סייבר וסירבה להגיב. החברה זכתה לתשומת לב רבה לאחרונה, שכן היא יצרנית התרופה האנטי-ויראלית remdesivir, שהיא כיום הטיפול היחיד שהוכח כמסייע לחולים הנגועים ב-COVID-19. גילעד היא גם אחת החברות המובילות את המחקר והפיתוח של טיפול במחלה הקטלנית, מה שהופך אותה ליעד מרכזי למאמצי איסוף מודיעין.