Affascinante gattino APT

Affascinante gattino APT

Charming Kitten, noto anche come APT35 , è una minaccia persistente avanzata, un gruppo di hacker con sospetti legami iraniani. Il gruppo è anche conosciuto con altri nomi: Phosphorus, Ajax Security Team e Newscaster Team. È stato osservato che Charming Kitten ha campagne motivate politicamente, ma anche motivate da ragioni finanziarie. Mirano agli attivisti per i diritti umani, alle organizzazioni dei media e al settore accademico. La maggior parte delle loro campagne spingeva per attacchi contro Regno Unito, Stati Uniti, Iran e Israele.

Campagne di gattini affascinanti

Una delle operazioni più estese intraprese dal gruppo di hacker è stata condotta contro HBO nel 2017. I criminali informatici hanno fatto trapelare circa un terabyte di dati con informazioni personali sul personale dell'azienda, spettacoli in arrivo e altro ancora. Altri attacchi organizzati da Charming Kitten, alias APT35, includevano l'accesso a dati dettagliati tramite un disertore dell'aeronautica americana e lo spoofing del sito Web di una società di sicurezza informatica israeliana per rubare i dettagli di accesso. L'attacco che li ha legati all'Iran è stata un'operazione del 2018 rivolta ad attivisti politici che ha influenzato le sanzioni contro il Paese. Gli agenti di Charming Kitten hanno utilizzato e-mail di phishing con allegati dannosi e ingegneria sociale per fingere di essere professionisti di alto livello.

L'angolo iraniano per il gattino affascinante

Campagne di phishing mirate facevano parte del modo in cui l'APT35 (Charming Kitten) fa affari, come si può vedere con la loro campagna del 2019 che mirava a impersonare ex giornalisti del Wall Street Journal. Hanno usato quell'approccio per affondare i loro artigli nelle loro vittime con la promessa di interviste o inviti a webinar, spesso su argomenti di affari iraniani e internazionali dell'epoca.
In uno di questi casi, gli aggressori hanno scritto un'e-mail in arabo sotto la falsa identità imitando il vero Farnaz Fassihi, un ex dipendente del Wall Street Journal con 17 anni di lavoro per la pubblicazione. Gli agenti di Charming Kitten hanno presentato questo falso personaggio come se stesse ancora lavorando per WSJ.

Falsa richiesta di colloquio. Fonte: blog.certfa.com

Il contenuto dell'e-mail era il seguente:

Ciao *** ***** ******
Mi chiamo Farnaz Fasihi. Sono un giornalista del quotidiano Wall Street Journal.
Il team mediorientale del WSJ intende presentare individui non locali di successo nei paesi sviluppati. Le tue attività nei campi della ricerca e della filosofia della scienza mi hanno portato a presentarti come un iraniano di successo. Il direttore del team del Medio Oriente ci ha chiesto di organizzare un'intervista con te e condividere alcuni dei tuoi importanti risultati con il nostro pubblico. Questa intervista potrebbe motivare i giovani del nostro amato Paese a scoprire i loro talenti e ad andare verso il successo.
Inutile dire che questa intervista è un grande onore per me personalmente e vi esorto ad accettare il mio invito per l'intervista.
Le domande sono progettate professionalmente da un gruppo di miei colleghi e l'intervista risultante sarà pubblicata nella sezione Weekly Interview del WSJ. Ti invierò le domande e i requisiti del colloquio non appena accetti.
*Nota a piè di pagina: non locale si riferisce a persone nate in altri paesi.
Grazie per la vostra gentilezza e attenzione.
Farnaz Fasi

I collegamenti all'interno delle e-mail erano in un formato URL breve, spesso utilizzato dagli attori delle minacce per nascondere collegamenti legittimi dietro di essi, mirando alla raccolta di dati di indirizzi IP, browser e versioni del sistema operativo e altro ancora. Ciò ha contribuito a spianare la strada a ulteriori attacchi creando fiducia con comunicazioni ripetute e preparandosi per il momento ad agire.

Una volta stabilita la fiducia nel tempo, gli hacker inviano un collegamento che contiene le presunte domande dell'intervista. I campioni del Computer Emergency Response Team in Farsi (CERTFA) hanno mostrato che gli aggressori stavano utilizzando un metodo utilizzato dai phisher negli ultimi anni, con pagine ospitate da Google Sites.

Una volta che la vittima apre il collegamento, può essere reindirizzata a un'altra pagina falsa che tenta di registrare le proprie credenziali di accesso e il codice di autenticazione a due fattori tramite l'uso di un kit di phishing.

Riepilogo delle operazioni del gattino affascinante

Nel 2015 i ricercatori hanno scoperto la prima ondata di attacchi di phishing, con successive operazioni di spionaggio su vasta scala scoperte dal 2016 al 2017 dai ricercatori di ClearSky. Gli operatori di Charming Kitten hanno utilizzato attacchi di imitazione, spear-phishing e abbeveratoio.

Nel 2018 i criminali informatici di Charming Kitten hanno inseguito ClearSky con un sito Web fraudolento che impersona il portale della società di sicurezza. Quell'anno furono identificati altri attacchi contro obiettivi mediorientali con una campagna di posta elettronica falsa e siti Web falsi.

Nel 2019 le attività di Charming Kitten (APT35) si sono ampliate prendendo di mira non iraniani negli Stati Uniti, in Medio Oriente e in Francia, con il targeting di personaggi pubblici al di fuori dei diavoli accademici che stavano inizialmente cercando. Hanno iniziato ad allegare un tracker alla loro corrispondenza e-mail per seguire le e-mail inoltrate ad altri account, con l'intenzione di ottenere dati di geolocalizzazione.

>>>Aggiornamento 10 maggio 2020 - APT35 (Charming Kitten) coinvolto nella campagna di hacking COVID-19

Una serie di archivi web pubblicamente disponibili esaminati da esperti di sicurezza informatica ha rivelato che il gruppo di hacker iraniano noto come Charming Kitten, tra gli altri nomi, era dietro un attacco informatico di aprile contro la società farmaceutica Gilead Sciences Inc California coinvolta nella ricerca sul COVID-19.

In uno dei casi in cui si sono imbattuti i ricercatori di sicurezza, gli hacker hanno utilizzato una pagina di accesso e-mail fasulla specificamente progettata per rubare le password da un alto dirigente Gilead, coinvolto in affari legali e aziendali. L'attacco è stato trovato su un sito Web utilizzato per scansionare gli indirizzi Web alla ricerca di attività dannose, ma i ricercatori non sono stati in grado di determinare se ha avuto successo.
Uno degli analisti che ha studiato l'attacco era Ohad Zaidenberg della società di sicurezza informatica israeliana ClearSky. Ha commentato che l'attacco di aprile contro Gilead è stato uno sforzo per compromettere gli account di posta elettronica aziendali con un messaggio che impersonava un'inchiesta di un giornalista. Altri analisti, che non erano autorizzati a commentare pubblicamente, da allora hanno confermato che l'attacco utilizzava domini e server che erano stati precedentemente utilizzati dal gruppo di hacker iraniano noto come Charming Kitten.

gruppi di hacker di tendenza

Grafico di tendenza dei gruppi di hacker APT - Fonte: Securitystack.co

La missione diplomatica iraniana presso le Nazioni Unite ha negato qualsiasi coinvolgimento in tali attacchi, con il portavoce Alireza Miryousefi che ha affermato che "il governo iraniano non si impegna in guerra informatica", aggiungendo "Le attività informatiche in cui l'Iran si impegna sono puramente difensive e per proteggere da ulteriori attacchi contro Infrastrutture iraniane".

Gilead ha seguito la politica aziendale sulla discussione di questioni di sicurezza informatica e ha rifiutato di commentare. L'azienda ha ricevuto molta attenzione di recente, in quanto è il produttore del farmaco antivirale remdesivir, che attualmente è l'unico trattamento dimostrato per aiutare i pazienti infetti da COVID-19. Gilead è anche una delle aziende che guidano la ricerca e lo sviluppo di un trattamento per la malattia mortale, rendendola un obiettivo primario per gli sforzi di raccolta di informazioni.

Tendenza

Caricamento in corso...