APT35

APT35 Opis

apt35 hakerski grupni napadi APT35 (Advanced Persistent Threat) je hakerska grupa za koju se vjeruje da potječe iz Irana. Ova hakerska grupa također je poznata pod nekoliko drugih aliasa – Newscaster Team, Phosphorus, Charming Kitten i Ajax Security Team. Hakerska grupa APT35 obično je uključena kako u politički motivirane kampanje, tako i u one financijski motivirane. Hakerska grupa APT35 nastoji koncentrirati svoje napore protiv aktera uključenih u aktivizam za ljudska prava, raznih medijskih organizacija i uglavnom akademskog sektora. Većina kampanja provodi se u Sjedinjenim Državama, Izraelu, Iranu i Ujedinjenom Kraljevstvu.

Popularne APT35 kampanje

Jedna od najozloglašenijih operacija APT35 je ona izvedena protiv HBO-a koja se dogodila 2017. U njoj je APT35 procurio preko 1 TB podataka, koji su se sastojali od osobnih podataka osoblja i emisija, koje su tek trebale biti službeno emitirane. Još jedna zloglasna kampanja APT35 koja ih je stavila na kartu je ona koja je također uključivala prebjega američkog ratnog zrakoplovstva. Dotični pojedinac pomogao je APT35 u dobivanju pristupa tajnim državnim podacima. Grupa APT35 je 2018. godine napravila web stranicu koja je trebala oponašati legitimnu izraelsku tvrtku za kibernetičku sigurnost. Jedina razlika bila je u tome što je lažna web stranica imala malo izmijenjen naziv domene. Ova kampanja pomogla je APT35 da dobije podatke za prijavu nekih klijenata tvrtke. Posljednja zloglasna kampanja koja uključuje APT35 provedena je u prosincu 2018. U ovoj operaciji grupa APT35 djelovala je pod aliasom Charming Kitten. Ova operacija usmjerena je na razne političke aktiviste koji su imali utjecaja na ekonomske sankcije, kao i na vojne sankcije Iranu u to vrijeme. Grupa APT35 predstavljala se kao visokorangirani profesionalci uključeni u ista područja kao i njihove mete. Napadači su koristili prilagođene phishing e-poruke s lažnim privitcima, kao i lažne profile na društvenim mrežama.

Krađa identiteta s lažnim e-porukama za intervjue

Ciljane phishing kampanje dio su načina rada Charming Kitten-a, a hakeri koriste lažnu e-poštu i društveni inženjering kao metode izvršenja. U jednoj kampanji 2019., grupa Charming Kitten glumila je bivše novinare Wall Street Journala (WSJ) i približila se njihovim namjeravanim žrtvama pomoću scenarija lažnog intervjua. Grupa je također uočena koristeći različite scenarije, kao što su ''CNN intervju'' i ''Poziv na webinar Deutsche Wellea'', obično oko iranskih i međunarodnih pitanja.

U jednom konkretnom slučaju, napadači su kreirali lažnu e-poštu na arapskom jeziku, koristeći identitet Farnaza Fassihija, trenutno novinara New York Timesa, koji je prethodno 17 godina radio za The Wall Street Journal. Zanimljivo je da su hakeri predstavili Farnaz Fassihi da radi za svog bivšeg poslodavca, The Wall Street Journal.


Lažni e-mail zahtjeva za intervju - Izvor: blog.certfa.com

Prijevod e-pošte:

Zdravo *** ***** ******
Moje ime je Farnaz Fasihi. Ja sam novinar u novinama Wall Street Journal.
Bliskoistočni tim WSJ-a namjerava predstaviti uspješne nelokalne pojedince u razvijenim zemljama. Vaše aktivnosti na području istraživanja i filozofije znanosti dovele su me da vas predstavim kao uspješnog Iranca. Direktor tima za Bliski istok zamolio nas je da dogovorimo intervju s vama i podijelimo neka od vaših važnih postignuća s našom publikom. Ovaj intervju mogao bi motivirati mlade naše voljene zemlje da otkriju svoje talente i krenu prema uspjehu.
Nepotrebno je reći da je ovaj intervju za mene osobno velika čast i pozivam vas da prihvatite moj poziv za intervju.
Pitanja je profesionalno osmislila grupa mojih kolega, a rezultirajući intervju bit će objavljen u odjeljku Tjedni intervju na WSJ-u. Poslat ću vam pitanja i zahtjeve intervjua čim prihvatite.
*Napomena: Ne-lokalno odnosi se na ljude koji su rođeni u drugim zemljama.
Hvala vam na ljubaznosti i pažnji.
Farnaz Fasihi

Sve poveznice sadržane u e-mailovima bile su u skraćenom formatu URL-a, koji su hakeri koristili kako bi svoju žrtvu usmjerili na legitimne adrese, dok su prikupljali bitne informacije o njihovim uređajima, kao što su operativni sustav, preglednik i IP adresa. Te su informacije bile potrebne od hakera u pripremi za glavni napad na njihove mete.


Uzorak lažne WSJ stranice hostirane na Google Sites - Izvor: blog.certfa.com

Nakon uspostavljanja relativnog povjerenja s namjeravanom metom, hakeri bi im poslali jedinstvenu poveznicu koja navodno sadrži pitanja za intervju. Prema uzorcima koje je testirao Computer Emergency Response Team na farsiju (CERTFA), napadači koriste relativno novu metodu koja je tijekom prošle godine stekla veliku popularnost kod krađa identiteta, hostirajući stranice na Google Sites.

Nakon što žrtva klikne gumb ''Preuzmi'' na stranici Google web-mjesta, bit će preusmjerena na drugu lažnu stranicu koja će pokušati prikupiti vjerodajnice za prijavu za njihovu adresu e-pošte i njihov dvofaktorni kod za autentifikaciju, koristeći komplete za krađu identiteta kao što je Modlishka.

Zlonamjerni softver DownPaper APT35

Alat DownPaper je backdoor trojanac, koji se uglavnom koristi kao korisni teret u prvoj fazi i ima mogućnosti:

  • Uspostavite vezu s napadačevim C&C (Command & Control) poslužiteljem i primajte naredbe i štetne sadržaje koji se trebaju izvršiti na infiltriranom hostu.
  • Dobijte postojanost mijenjanjem Windows Registry.
  • Prikupite informacije o ugroženom sustavu, kao što su podaci o hardveru i softveru.
  • Izvršite naredbe CMD i PowerShell.

Hakerska grupa APT35 vrlo je uporna skupina pojedinaca i malo je vjerojatno da planiraju zaustaviti svoje aktivnosti u skorije vrijeme. Imajući na umu da se politička klima oko Irana već neko vrijeme zahuktava, vjerojatno ćemo i ubuduće slušati o kampanjama grupe APT35.

Ažuriranje 10. svibnja 2020. - APT35 uključen u kampanju hakiranja COVID-19

Skup javno dostupnih web arhiva koje su pregledali stručnjaci za kibernetičku sigurnost otkrio je da iranska hakerska grupa poznata kao Charming Kitten, između ostalih imena, stoji iza cyber-napada u travnju na tvrtku za lijekove sa sjedištem Gilead Sciences Inc. u Kaliforniji koja je uključena u istraživanje COVID-19.

U jednom od slučajeva na koje su naišli istraživači sigurnosti, hakeri su koristili lažnu stranicu za prijavu putem e-pošte koja je bila posebno dizajnirana za krađu lozinki vrhunskog izvršnog direktora Gileada, uključenog u korporativne i pravne poslove. Napad je pronađen na web stranici koja se koristi za skeniranje web adresa za zlonamjerne aktivnosti, ali istraživači nisu uspjeli utvrditi je li uspješan.

popularne grupe hakera
Grafikon APT hakerskih grupa u trendu – Izvor: Securitystack.co

Jedan od analitičara koji je istraživao napad bio je Ohad Zaidenberg iz izraelske tvrtke ClearSky za kibernetičku sigurnost. Komentirao je da je napad u travnju na Gilead u travnju bio pokušaj kompromitiranja korporativnih računa e-pošte s porukom koja je oponašala novinarski upit. Drugi analitičari, koji nisu bili ovlašteni javno komentirati, od tada su potvrdili da su u napadu korištene domene i poslužitelji koje je prije koristila iranska hakerska grupa poznata kao Charming Kitten.

Iranska diplomatska misija pri Ujedinjenim narodima zanijekala je bilo kakvu umiješanost u takve napade , a glasnogovornik Alireza Miryousfi je izjavio da "iranska vlada ne sudjeluje u kibernetičkom ratu", dodajući da su "kibernetičke aktivnosti u koje Iran sudjeluje isključivo obrambene i za zaštitu od daljnjih napada na Iranska infrastruktura."

ciljane zemlje iranski napadači
Zemlje ciljane u nedavnim iranskim cyber kampanjama – Izvor: Stratfor.com

Gilead je slijedio politiku tvrtke o raspravi o pitanjima kibernetičke sigurnosti i odbio je komentirati. Tvrtka je u posljednje vrijeme dobila veliku pažnju jer je proizvođač antivirusnog lijeka remdesivir, koji je trenutno jedini lijek koji dokazano pomaže pacijentima zaraženim COVID-19. Gilead je također jedna od tvrtki koja vodi istraživanje i razvoj lijeka za smrtonosnu bolest, što ga čini glavnom metom za prikupljanje obavještajnih podataka.