Charming Kitten APT
Šarmantni mačić, također poznat kao APT35 , napredna je trajna prijetnja, hakerska skupina za koju se sumnja da ima veze s Iranom. Grupa je poznata i pod drugim imenima: Phosphorus, Ajax Security Team i Newscaster Team. Primijećeno je da Charming Kitten vodi politički motivirane kampanje, ali i one motivirane financijskim razlozima. Oni ciljaju na aktiviste za ljudska prava, medijske organizacije i akademski sektor. Većina njihovih kampanja bila je usmjerena na napade na Ujedinjeno Kraljevstvo, Sjedinjene Države, Iran i Izrael.
Sadržaj
Kampanje za šarmantne mačiće
Jedna od opsežnijih operacija koje je poduzela hakerska grupa provedena je protiv HBO-a 2017. Kibernetički kriminalci su procurili oko terabajta podataka s osobnim podacima o osoblju tvrtke, nadolazećim emisijama i još mnogo toga. Drugi napadi koje je organizirao Charming Kitten, zvani APT35, uključivali su pristup detaljnim podacima putem prebjega iz američkog ratnog zrakoplovstva i lažiranje web stranice izraelske tvrtke za kibernetičku sigurnost radi krađe podataka za prijavu. Napad koji ih je povezao s Iranom bila je operacija iz 2018. usmjerena na političke aktiviste koja je utjecala na sankcije usmjerene protiv zemlje. Operativci Charming Kitten koristili su phishing poruke e-pošte sa zlonamjernim privitcima i društvenim inženjeringom kako bi se predstavljali kao visokorangirani profesionalci.
Iranski kut za šarmantnog mačića
Ciljane phishing kampanje bile su dio načina na koji APT35 (Charming Kitten) posluje, kao što se moglo vidjeti s njihovom kampanjom iz 2019. koja je imala za cilj lažno predstavljanje bivših novinara Wall Street Journala. Iskoristili su taj pristup da zabiju kandže u svoje žrtve uz obećanje intervjua ili poziva na webinare, često na teme o iranskim i međunarodnim odnosima u to vrijeme.
U jednom od tih slučajeva, napadači su napisali e-poruku na arapskom pod lažnim identitetom imitirajući stvarnog Farnaza Fassihija, bivšeg zaposlenika Wall Street Journala sa 17 godina rada za publikaciju. Operativci Charming Kitten predstavili su ovu lažnu osobu kao da još uvijek radi za WSJ.
Lažni zahtjev za intervju. Izvor: blog.certfa.com
Sadržaj e-pošte bio je sljedeći:
Zdravo *** ***** ******
Moje ime je Farnaz Fasihi. Ja sam novinar u novinama Wall Street Journal.
Bliskoistočni tim WSJ-a namjerava predstaviti uspješne nelokalne pojedince u razvijenim zemljama. Vaše aktivnosti na području istraživanja i filozofije znanosti dovele su me da vas predstavim kao uspješnog Iranca. Direktor tima za Bliski istok zamolio nas je da dogovorimo intervju s vama i podijelimo neka od vaših važnih postignuća s našom publikom. Ovaj intervju mogao bi motivirati mlade naše voljene zemlje da otkriju svoje talente i krenu prema uspjehu.
Nepotrebno je reći da je ovaj intervju za mene osobno velika čast i pozivam vas da prihvatite moj poziv za intervju.
Pitanja je profesionalno osmislila grupa mojih kolega, a rezultirajući intervju bit će objavljen u odjeljku Tjedni intervju na WSJ-u. Poslat ću vam pitanja i zahtjeve intervjua čim prihvatite.
*Napomena: Nije lokalno odnosi se na ljude koji su rođeni u drugim zemljama.
Hvala vam na ljubaznosti i pažnji.
Farnaz Fasihi
Veze unutar e-poruka bile su u kratkom formatu URL-a, koje su akteri prijetnji često koristili da prikriju legitimne veze iza sebe, s ciljem prikupljanja podataka o IP adresama, verzijama preglednika i OS-a i još mnogo toga. To je pomoglo utrti put daljnjim napadima izgradnjom povjerenja uzastopnom komunikacijom i pripremama za trenutnu akciju.
Nakon što se povjerenje uspostavi s vremenom, hakeri šalju poveznicu koja sadrži navodna pitanja za intervju. Tim za odgovor na računalne hitne slučajeve na farsiju (CERTFA) pokazao je da su napadači koristili metodu koju su posljednjih godina koristili phisheri, sa stranicama koje su hostirane na Google Sites.
Nakon što žrtva otvori vezu, može biti preusmjerena na drugu lažnu stranicu koja pokušava zabilježiti njihove vjerodajnice za prijavu i dvofaktorni kod za autentifikaciju korištenjem kompleta za krađu identiteta.
Sažetak operacija šarmantnih mačića
Godine 2015. istraživači su otkrili prvi val phishing napada, a kasnije su špijunske operacije masovnih razmjera otkrili od 2016. do 2017. istraživači ClearSky-a. Operateri Charming Kitten koristili su lažno predstavljanje, krađu identiteta i napade na pojilo.
2018. kibernetički kriminalci Charming Kitten krenuli su na ClearSky s lažnom web-stranicom koja se lažno predstavljala kao portal sigurnosne tvrtke. Te je godine identificirano više napada na mete na Bliskom istoku s lažnom kampanjom e-pošte i lažnim web stranicama.
U 2019. aktivnosti Charming Kitten (APT35) proširile su se ciljanjem na ne-Irance u SAD-u, Bliskom istoku i Francuskoj, uz ciljanje javnih osoba izvan akademskih đavola za koje su u početku tražili. Svojoj korespondenciji e-poštom počeli su prilagati tracker kako bi pratili e-poruke proslijeđene drugim računima, s namjerom da dobiju geolokacijske podatke.
>>>Ažuriranje 10. svibnja 2020. - APT35 (Šarmantni mačić) uključen u kampanju hakiranja COVID-19
Skup javno dostupnih web arhiva koje su pregledali stručnjaci za kibernetičku sigurnost otkrio je da iranska hakerska grupa poznata kao Charming Kitten, između ostalih imena, stoji iza cyber-napada u travnju na tvrtku za lijekove sa sjedištem Gilead Sciences Inc. u Kaliforniji koja je uključena u istraživanje COVID-19.
U jednom od slučajeva na koje su naišli istraživači sigurnosti, hakeri su koristili lažnu stranicu za prijavu putem e-pošte koja je bila posebno dizajnirana za krađu lozinki vrhunskog izvršnog direktora Gileada, uključenog u korporativne i pravne poslove. Napad je pronađen na web stranici koja se koristi za skeniranje web adresa za zlonamjerne aktivnosti, ali istraživači nisu uspjeli utvrditi je li uspješan.
Jedan od analitičara koji je istraživao napad bio je Ohad Zaidenberg iz izraelske tvrtke ClearSky za kibernetičku sigurnost. Komentirao je da je napad u travnju na Gilead u travnju bio pokušaj kompromitiranja korporativnih računa e-pošte s porukom koja je oponašala novinarski upit. Drugi analitičari, koji nisu bili ovlašteni javno komentirati, od tada su potvrdili da su u napadu korištene domene i poslužitelji koje je prije koristila iranska hakerska grupa poznata kao Charming Kitten.
Grafikon APT hakerskih grupa u trendu – Izvor: Securitystack.co
Iranska diplomatska misija pri Ujedinjenim narodima zanijekala je bilo kakvu umiješanost u takve napade, a glasnogovornik Alireza Miryousfi je izjavio da "iranska vlada ne sudjeluje u kibernetičkom ratu", dodajući da su "kibernetičke aktivnosti u koje Iran sudjeluje isključivo obrambene i za zaštitu od daljnjih napada na Iranska infrastruktura."
Gilead je slijedio politiku tvrtke o raspravi o pitanjima kibernetičke sigurnosti i odbio je komentirati. Tvrtka je u posljednje vrijeme dobila veliku pažnju jer je proizvođač antivirusnog lijeka remdesivir, koji je trenutno jedini lijek koji dokazano pomaže pacijentima zaraženim COVID-19. Gilead je također jedna od tvrtki koja vodi istraživanje i razvoj lijeka za smrtonosnu bolest, što ga čini glavnom metom za prikupljanje obavještajnih podataka.
