APT35

APT35 Aprašymas

apt35 įsilaužėlių grupės atakos APT35 (Advanced Persistent Threat) yra įsilaužimo grupė, kuri, kaip manoma, kilusi iš Irano. Ši įsilaužimo grupė taip pat žinoma keliais kitais slapyvardžiais – Newscaster Team, Phosphorus, Charming Kitten ir Ajax Security Team. APT35 įsilaužimo grupė dažniausiai dalyvauja tiek politiškai, tiek finansiškai motyvuotose kampanijose. APT35 įsilaužimo grupė yra linkusi sutelkti savo pastangas prieš veikėjus, dalyvaujančius žmogaus teisių aktyvizmo veikloje, įvairias žiniasklaidos organizacijas ir akademinį sektorių. Dauguma kampanijų vykdomos JAV, Izraelyje, Irane ir Jungtinėje Karalystėje.

Populiarios APT35 kampanijos

Viena iš labiausiai žinomų APT35 operacijų yra 2017 m. prieš HBO atlikta operacija. Per ją APT35 nutekėjo daugiau nei 1 TB duomenų, kuriuos sudarė personalo duomenys ir laidos, kurios dar turėjo būti oficialiai paskelbtos. Kita liūdnai pagarsėjusi APT35 kampanija, kuri įtraukė juos į žemėlapį, yra ta, kurioje dalyvavo ir JAV oro pajėgų perbėgėjas. Minėtas asmuo padėjo APT35 gauti prieigą prie įslaptintų vyriausybės duomenų. 2018 m. APT35 grupė sukūrė svetainę, kuri turėjo imituoti teisėtą Izraelio kibernetinio saugumo įmonę. Vienintelis skirtumas buvo tas, kad netikros svetainės domeno pavadinimas buvo šiek tiek pakeistas. Ši kampanija padėjo APT35 gauti kai kurių įmonės klientų prisijungimo duomenis. Paskutinė liūdnai pagarsėjusi kampanija, susijusi su APT35, buvo vykdoma 2018 m. gruodžio mėn. Šioje operacijoje grupė APT35 veikė su Charming Kitten slapyvardžiu. Ši operacija buvo nukreipta į įvairius politinius aktyvistus, kurie turėjo įtakos ekonominėms sankcijoms, taip pat karinėms sankcijoms, kurios tuo metu buvo taikomos Iranui. APT35 grupė pasirodė kaip aukšto rango profesionalai, dirbantys tose pačiose srityse, kaip ir jų taikiniai. Užpuolikai naudojo pritaikytus sukčiavimo el. laiškus su netikrais priedais, taip pat netikrus socialinės žiniasklaidos profilius.

Sukčiavimas naudojant netikrus interviu el. laiškus

Tikslinės sukčiavimo kampanijos yra Charming Kitten modus operandi dalis, kai įsilaužėliai naudoja netikrus el. laiškus ir socialinę inžineriją kaip vykdymo metodus. Vienoje 2019 m. kampanijoje „Charming Kitten“ grupė apsimetė buvusiais „Wall Street Journal“ (WSJ) žurnalistais ir kreipėsi į jų numatytas aukas pateikdama netikrą interviu scenarijų. Grupė taip pat buvo pastebėta naudojant įvairius scenarijus, tokius kaip „CNN interviu“ ir „Kvietimas į Deutsche Welle Webinar“, dažniausiai Irano ir tarptautinių reikalų temomis.

Vienu konkrečiu atveju užpuolikai sukūrė netikrą elektroninį laišką arabų kalba, naudodami Farnazo Fassihi, šiuo metu „New York Times“ žurnalisto, anksčiau 17 metų dirbusio „The Wall Street Journal“, tapatybę. Įdomu tai, kad įsilaužėliai pristatė Farnaz Fassihi dirbantį jos buvusiam darbdaviui „The Wall Street Journal“.


Netikro interviu prašymo el. laiškas – Šaltinis: blog.certfa.com

Vertimas el. paštu:

Sveiki *** ***** ******
Mano vardas Farnazas Fasihi. Esu „Wall Street Journal“ laikraščio žurnalistė.
WSJ Artimųjų Rytų komanda ketina pristatyti sėkmingus nevietinius asmenis išsivysčiusiose šalyse. Jūsų veikla mokslinių tyrimų ir mokslo filosofijos srityse paskatino jus pristatyti kaip sėkmingą iranietį. Artimųjų Rytų komandos direktorius paprašė mūsų surengti interviu su jumis ir pasidalinti kai kuriais svarbiais jūsų pasiekimais su mūsų auditorija. Šis interviu galėtų paskatinti mūsų mylimos šalies jaunimą atrasti savo talentus ir judėti sėkmės link.
Nereikia nė sakyti, kad šis interviu man asmeniškai didelė garbė, todėl kviečiu priimti mano kvietimą į pokalbį.
Klausimus profesionaliai parengė mano kolegų grupė, o gautas interviu bus paskelbtas WSJ Savaitės interviu skiltyje. Pokalbio klausimus ir reikalavimus atsiųsiu iš karto, kai tik sutiksite.
*Išnaša: nevietinis reiškia žmones, kurie gimė kitose šalyse.
Ačiū už jūsų gerumą ir dėmesį.
Farnazas Fasihis

Visos el. laiškuose esančios nuorodos buvo sutrumpinto URL formato, kurį naudojo įsilaužėliai, norėdami nukreipti savo auką į teisėtus adresus, rinkdami esminę informaciją apie savo įrenginius, pvz., operacinę sistemą, naršyklę ir IP adresą. Šios informacijos reikėjo iš įsilaužėlių ruošiantis pagrindinei atakai prieš savo taikinius.


„Google“ svetainėse priglobto netikro WSJ puslapio pavyzdys – šaltinis: blog.certfa.com

Sukūrę santykinį pasitikėjimą numatytu taikiniu, įsilaužėliai atsiųstų jiems unikalią nuorodą, kurioje tariamai būtų pateikti interviu klausimai. Remiantis pavyzdžiais, kuriuos išbandė Kompiuterių avarijų reagavimo komanda persų kalba (CERTFA), užpuolikai naudoja palyginti naują metodą, kuris per pastaruosius metus sulaukė didelio populiarumo tarp sukčiavimo asmenų, priglobdami puslapius „Google“ svetainėse.

Kai auka „Google“ svetainės puslapyje spustelėja mygtuką „Atsisiųsti“, ji bus nukreipta į kitą netikrą puslapį, kuriame bus bandoma surinkti prisijungimo duomenis, susijusius su jų el. pašto adresu ir dviejų veiksnių autentifikavimo kodu, naudojant sukčiavimo rinkinius, tokius kaip „Modlishka“.

APT35 DownPaper kenkėjiška programa

„DownPaper“ įrankis yra užpakalinių durų Trojos arklys, kuris dažniausiai naudojamas kaip pirmosios pakopos naudingoji apkrova ir gali:

  • Užmegzkite ryšį su užpuoliko C&C (Command & Control) serveriu ir gaukite komandas bei žalingus krovinius, kurie turi būti vykdomi įsiskverbusiame pagrindiniame kompiuteryje.
  • Įgykite atkaklumo klastodami „Windows“ registrą.
  • Surinkite informaciją apie pažeistą sistemą, pvz., aparatinės ir programinės įrangos duomenis.
  • Vykdykite CMD ir PowerShell komandas.

APT35 įsilaužimo grupė yra labai atkakli asmenų grupė, ir mažai tikėtina, kad jie artimiausiu metu planuoja sustabdyti savo veiklą. Turint omenyje, kad politinis klimatas aplink Iraną jau kurį laiką kaista, tikėtina, kad apie APT35 grupės kampanijas girdėsime ir ateityje.

Atnaujinimas 2020 m. gegužės 10 d. – APT35 dalyvauja COVID-19 įsilaužimo kampanijoje

Kibernetinio saugumo ekspertų peržiūrėtas viešai prieinamų žiniatinklio archyvų rinkinys atskleidė, kad Irano įsilaužėlių grupė, žinoma kaip Charming Kitten, be kitų pavadinimų, buvo už balandžio mėnesio kibernetinės atakos prieš Kalifornijoje įsikūrusią vaistų kompaniją Gilead Sciences Inc, dalyvaujančią COVID-19 tyrimuose.

Vienu iš atvejų, su kuriais susidūrė saugumo tyrinėtojai, įsilaužėliai naudojo netikrą el. pašto prisijungimo puslapį, kuris buvo specialiai sukurtas slaptažodžiams pavogti iš aukščiausio lygio Gilead vadovo, dalyvaujančio verslo ir teisiniuose reikaluose. Išpuolis buvo rastas svetainėje, kuri naudojama žiniatinklio adresams nuskaityti dėl kenkėjiškos veiklos, tačiau tyrėjai negalėjo nustatyti, ar tai buvo sėkminga.

populiarios apt įsilaužėlių grupės
Populiarių APT įsilaužėlių grupių diagrama – šaltinis: Securitystack.co

Vienas iš ataką tyrusių analitikų buvo Ohadas Zaidenbergas iš Izraelio kibernetinio saugumo įmonės „ClearSky“. Jis pakomentavo, kad balandžio mėnesio ataka prieš Gileadą buvo pastangos sukompromituoti įmonių el. pašto paskyras žinute, kuri apsimeta žurnalisto užklausa. Kiti analitikai, kurie neturėjo teisės komentuoti viešai, vėliau patvirtino, kad ataka naudojo domenus ir serverius, kuriuos anksčiau naudojo Irano įsilaužėlių grupė, žinoma kaip Charming Kitten.

Irano diplomatinė atstovybė prie Jungtinių Tautų neigė bet kokį dalyvavimą tokiose atakose , o atstovas Alireza Miryousefi pareiškė, kad „Irano vyriausybė nedalyvauja kibernetiniame kare“, – pridūrė: „Kibernetinė veikla, kurią Iranas vykdo, yra tik gynybinė ir siekiant apsisaugoti nuo tolesnių atakų. Irano infrastruktūra“.

nusitaikė į Irano užpuolikus
Šalys, nukreiptos į naujausias Irano kibernetines kampanijas – Šaltinis: Stratfor.com

„Gilead“ laikėsi įmonės politikos aptardamas kibernetinio saugumo klausimus ir atsisakė komentuoti. Bendrovė pastaruoju metu sulaukė didelio dėmesio, nes gamina antivirusinį vaistą remdesivir, kuris šiuo metu yra vienintelis gydymo būdas, padedantis pacientams, užsikrėtusiems COVID-19. „Gilead“ taip pat yra viena iš kompanijų, vadovaujančių mirtinos ligos gydymo tyrimams ir plėtrai, todėl tai yra pagrindinis žvalgybos pastangų tikslas.