Bájos cica APT
A Charming Kitten, más néven APT35 , egy előrehaladott, állandó fenyegetés, egy hackercsoport feltételezhetően iráni kapcsolatokkal. A csoport más néven is ismert: Phosphorus, Ajax Security Team és Newscaster Team. Megfigyelték, hogy a Charming Kitten politikailag motivált kampányokat folytat, de olyanokat is, amelyeket pénzügyi okok motiválnak. Céljuk az emberi jogi aktivisták, a médiaszervezetek és a tudományos szektor. Kampányaik többsége az Egyesült Királyság, az Egyesült Államok, Irán és Izrael elleni támadásokat szorgalmazta.
Tartalomjegyzék
Bájos cica kampányok
A hackercsoport egyik kiterjedtebb műveletét az HBO ellen hajtották végre 2017-ben. A kiberbűnözők körülbelül terabájtnyi adatot szivárogtattak ki személyes adatokkal a cég személyzetéről, a közelgő műsorokról és egyebekről. A Charming Kitten, más néven APT35 által szervezett további támadások közé tartozott a részletes adatokhoz való hozzáférés az Egyesült Államok légierejének egy disszidensén keresztül, valamint egy izraeli kiberbiztonsági cég webhelyének hamisítása, hogy ellopják a bejelentkezési adatokat. A támadás, amely Iránhoz kötötte őket, egy 2018-as, politikai aktivisták ellen irányuló akció volt, amely befolyásolta az ország elleni szankciókat. A Charming Kitten munkatársai rosszindulatú mellékleteket tartalmazó adathalász e-maileket és szociális manipulációt használtak, hogy magas rangú szakembereknek adják ki magukat.
Az iráni szög a bájos cicáért
A célzott adathalász kampányok részét képezték az APT35 (Charming Kitten) üzleti tevékenységének, ahogyan az a 2019-es kampányukban is látható volt, amelynek célja a Wall Street Journal volt újságíróinak megszemélyesítése volt. Ezt a megközelítést használták arra, hogy áldozataikba mélyedjenek azzal az ígérettel, hogy interjúkat vagy meghívást kapnak webináriumokra, gyakran az akkori iráni és nemzetközi ügyek témáiról.
Az egyik ilyen esetben a támadók arab nyelvű e-mailt írtak hamis személyazonossággal, amely a valós életből származó Farnaz Fassihit, a Wall Street Journal volt alkalmazottját, 17 éve a kiadványnál dolgozott utánozta. A Charming Kitten munkatársai úgy mutatták be ezt a hamis személyt, mint aki még mindig a WSJ-nek dolgozik.
Hamis interjúkérés. Forrás: blog.certfa.com
Az e-mail tartalma a következő volt:
Helló *** ***** ******
A nevem Farnaz Fasihi. Újságíró vagyok a Wall Street Journal újságnál.
A WSJ közel-keleti csapata sikeres, nem helyi egyéneket kíván bemutatni a fejlett országokban. A kutatás és a tudományfilozófia területén végzett tevékenysége késztetett arra, hogy sikeres irániként mutassam be Önt. A Közel-Kelet csapatának igazgatója megkért minket, hogy készítsünk egy interjút önnel, és osszuk meg néhány fontos eredményeit közönségünkkel. Ez az interjú arra ösztönözheti szeretett hazánk fiataljait, hogy felfedezzék tehetségüket és haladjanak a siker felé.
Mondanom sem kell, hogy ez az interjú nagy megtiszteltetés számomra, és arra kérem Önt, hogy fogadja el az interjúra való meghívásomat.
A kérdéseket kollégáim egy csoportja professzionálisan megtervezi, az így elkészült interjút a WSJ Heti Interjú rovatában tesszük közzé. Amint elfogadja, elküldöm Önnek az interjú kérdéseit és követelményeit.
*Lábjegyzet: A nem helyi olyan személyekre vonatkozik, akik más országokban születtek.
Köszönöm kedvességét és figyelmességét.
Farnaz Fasihi
Az e-mailekben található linkek rövid URL-formátumban voltak, amelyet gyakran használnak a fenyegetések szereplői, hogy álcázzák a mögöttük lévő legitim linkeket, és az IP-címek, a böngésző- és operációsrendszer-verziók és egyebek adatgyűjtését célozzák. Ez segített kikövezni az utat a további támadások felé azáltal, hogy ismételt kommunikációval bizalmat épített ki, és felkészült a cselekvés pillanatára.
Amint a bizalom idővel kialakul, a hackerek elküldenek egy linket, amely tartalmazza az állítólagos interjúkérdéseket. A Computer Emergency Response Team in Farsi (CERTFA) mintái kimutatták, hogy a támadók az adathalászok által az elmúlt években használt módszert alkalmazták a Google Webhelyek által üzemeltetett oldalakon.
Amint az áldozat megnyitja a linket, egy másik hamis oldalra irányíthatják át, amely megkísérli rögzíteni a bejelentkezési adatait és a kéttényezős hitelesítési kódot egy adathalász készlet segítségével.
A bájos cica műveleteinek összefoglalása
2015-ben fedezték fel a kutatók az adathalász támadások első hullámát, majd 2016 és 2017 között hatalmas léptékű kémműveleteket fedeztek fel a ClearSky kutatói. A Charming Kitten operátorai megszemélyesítést, lándzsás adathalászatot és ivólyuk támadásokat alkalmaztak.
2018-ban a Charming Kitten kiberbűnözők a ClearSky-t keresték egy csaló weboldallal, amely a biztonsági cég portáljának adja ki magát. Abban az évben több támadást azonosítottak közel-keleti célpontok ellen hamis e-mail kampányokkal és hamis webhelyekkel.
2019-ben a Charming Kitten (APT35) tevékenységei kibővültek a nem irániak megcélzásával az Egyesült Államokban, a Közel-Keleten és Franciaországban. Elkezdtek nyomkövetőt csatolni e-mail levelezésükhöz, hogy nyomon kövessék a más fiókoknak továbbított e-maileket, hogy földrajzi helyadatokat szerezzenek.
>>>Frissítés, 2020. május 10. – APT35 (Charming Kitten) részt vesz a COVID-19 hackerkampányban
A kiberbiztonsági szakértők által átvizsgált nyilvánosan elérhető webarchívumok felfedték, hogy többek között a Charming Kitten néven ismert iráni hackercsoport áll a COVID-19-kutatásban részt vevő Gilead Sciences Inc kaliforniai székhelyű gyógyszercég elleni áprilisi kibertámadás mögött.
Az egyik esetben, amikor a biztonsági kutatók találkoztak, a hackerek egy hamis e-mail-bejelentkezési oldalt használtak, amelyet kifejezetten arra terveztek, hogy jelszavakat lopjanak a Gilead vezetőitől, akik vállalati és jogi ügyekben érintettek. A támadást egy olyan webhelyen találták, amely a webcímek rosszindulatú tevékenységét keresi, de a kutatók nem tudták megállapítani, hogy sikeres volt-e.
A támadást kutató elemzők egyike Ohad Zaidenberg volt, az izraeli ClearSky kiberbiztonsági cégtől. Megjegyezte, hogy a Gileád elleni áprilisi támadás célja a vállalati e-mail fiókok kompromittálása volt egy újságírói kérdésnek kiadó üzenettel. Más elemzők, akik nem jogosultak nyilvánosan kommentálni, azóta megerősítették, hogy a támadás olyan domaineket és szervereket használt, amelyeket korábban a Charming Kitten néven ismert iráni hackercsoport használt.
Felkapott APT hackercsoportok diagramja – Forrás: Securitystack.co
Irán diplomáciai képviselete az Egyesült Nemzetek Szervezete mellett tagadta, hogy köze lenne az ilyen támadásokhoz, Alireza Miryousefi szóvivője pedig kijelentette, hogy "Az iráni kormány nem vesz részt kiberhadviselésben", hozzátette: "Irán kibertevékenységei pusztán védekező jellegűek, és megvédik a további támadásoktól. iráni infrastruktúra."
A Gilead követte a vállalat politikáját a kiberbiztonsági kérdések megvitatása során, és nem volt hajlandó kommentálni. A cég az utóbbi időben nagy figyelmet kapott, mivel ő a gyártó a remdesivir vírusellenes gyógyszert, amely jelenleg az egyetlen kezelés, amely bizonyítottan segít a COVID-19-fertőzött betegeken. A Gilead ezenkívül egyike a halálos betegség kezelésének kutatásában és fejlesztésében vezető vállalatoknak, így az információgyűjtési erőfeszítések elsődleges célpontja.
