Žavingas kačiukas APT
Charming Kitten, taip pat žinomas kaip APT35 , yra pažengusi nuolatinė grėsmė, įsilaužėlių grupė, turinti įtariamų ryšių su Iranu. Grupė taip pat žinoma kitais pavadinimais: „Phosphorus“, „Ajax Security Team“ ir „Newscaster Team“. Pastebėta, kad žavusis kačiukas vykdo politiškai motyvuotas kampanijas, taip pat ir finansines priežastis. Jie skirti žmogaus teisių aktyvistams, žiniasklaidos organizacijoms ir akademiniam sektoriui. Dauguma jų kampanijų siekė atakų prieš Jungtinę Karalystę, JAV, Iraną ir Izraelį.
Turinys
Žavingų kačiukų kampanijos
Viena iš platesnių įsilaužėlių grupės operacijų buvo atlikta prieš HBO 2017 m. Kibernetiniai nusikaltėliai nutekino apie terabaitą duomenų su asmenine informacija apie įmonės darbuotojus, artėjančias laidas ir kt. Kitos Charming Kitten (dar žinomos kaip APT35) surengtos atakos apėmė prieigą prie išsamių duomenų per JAV oro pajėgų perbėgėlį ir Izraelio kibernetinio saugumo įmonės svetainės klastojimą, siekiant pavogti prisijungimo duomenis. Išpuolis, kuris juos siejo su Iranu, buvo 2018 m. operacija, nukreipta prieš politinius aktyvistus, turėjusi įtakos šaliai taikomoms sankcijoms. „Charming Kitten“ darbuotojai naudojo sukčiavimo el. laiškus su kenkėjiškais priedais ir socialinę inžineriją, kad apsimestų aukšto rango profesionalais.
Irano kampas žavingam kačiukui
Tikslinės sukčiavimo kampanijos buvo APT35 (žavingas kačiukas) verslo būdo dalis, kaip matyti iš jų 2019 m. kampanijos, kurios tikslas buvo apsimesti buvusiais „Wall Street Journal“ žurnalistais. Jie naudojo šį metodą, norėdami įsmeigti nagus į savo aukas, pažadėdami interviu arba kvietimus į internetinius seminarus, dažnai tuo metu Irano ir tarptautinių reikalų temomis.
Vienu iš šių atvejų užpuolikai parašė el. laišką arabų kalba su netikra tapatybe, imituojančiu tikrąjį Farnazą Fassihi, buvusį „Wall Street Journal“ darbuotoją, 17 metų dirbusį leidinyje. Charming Kitten darbuotojai pristatė šią netikrą asmenybę kaip vis dar dirbančią WSJ.
Netikras interviu prašymas. Šaltinis: blog.certfa.com
Laiško turinys buvo toks:
Sveiki *** ***** ******
Mano vardas Farnazas Fasihi. Esu „Wall Street Journal“ laikraščio žurnalistė.
WSJ Artimųjų Rytų komanda ketina pristatyti sėkmingus nevietinius asmenis išsivysčiusiose šalyse. Jūsų veikla mokslinių tyrimų ir mokslo filosofijos srityse paskatino jus pristatyti kaip sėkmingą iranietį. Artimųjų Rytų komandos direktorius paprašė mūsų surengti interviu su jumis ir pasidalinti kai kuriais svarbiais jūsų pasiekimais su mūsų auditorija. Šis interviu galėtų paskatinti mūsų mylimos šalies jaunimą atrasti savo talentus ir judėti sėkmės link.
Nereikia nė sakyti, kad šis interviu man asmeniškai didelė garbė, todėl kviečiu priimti mano kvietimą į pokalbį.
Klausimus profesionaliai parengė mano kolegų grupė, o gautas interviu bus paskelbtas WSJ Savaitės interviu skiltyje. Pokalbio klausimus ir reikalavimus atsiųsiu iš karto, kai tik sutiksite.
*Išnaša: nevietinis reiškia žmones, kurie gimė kitose šalyse.
Ačiū už jūsų gerumą ir dėmesį.
Farnazas Fasihis
El. laiškuose esančios nuorodos buvo trumpo URL formato, kurį dažnai naudojo grėsmės veikėjai, norėdami paslėpti už jų esančias teisėtas nuorodas, kuriomis siekiama rinkti duomenis apie IP adresus, naršyklės, OS versijas ir kt. Tai padėjo nutiesti kelią tolimesniems išpuoliams, nes nuolat bendraujant buvo sustiprintas pasitikėjimas ir ruošiamasi veikti.
Kai tik laikui bėgant pasitikėjimas atsiranda, įsilaužėliai išsiunčia nuorodą, kurioje pateikiami tariami interviu klausimai. „Computer Emergency Response Team in Farsi“ (CERTFA) pavyzdžiai parodė, kad užpuolikai naudojo metodą, kurį pastaraisiais metais naudojo sukčiavimo mėgėjai, naudodami „Google“ svetainių priglobtus puslapius.
Kai auka atidaro nuorodą, ji gali būti nukreipta į kitą netikrą puslapį, kuriame bandoma įrašyti jų prisijungimo duomenis ir dviejų veiksnių autentifikavimo kodą naudojant sukčiavimo rinkinį.
Žavingo kačiuko operacijų santrauka
2015 m. mokslininkai aptiko pirmąją sukčiavimo atakų bangą, o vėliau 2016–2017 m. ClearSky mokslininkai aptiko didžiulio masto šnipinėjimo operacijas. „Charming Kitten“ operatoriai naudojo apsimetinėjimą, sukčiavimą ir vandens telkinių atakas.
2018 m. „Charming Kitten“ kibernetiniai nusikaltėliai užpuolė „ClearSky“ su apgaulinga svetaine, apsimetančia saugos įmonės portalu. Tais metais buvo nustatyta daugiau išpuolių prieš Artimųjų Rytų taikinius su netikra el. pašto kampanija ir netikromis svetainėmis.
2019 m. Charming Kitten (APT35) veikla išsiplėtė, taikydamasi ne iraniečius JAV, Artimuosiuose Rytuose ir Prancūzijoje, o viešuosius asmenis, nepriklausančius akademiniams draugams, kurių jie iš pradžių siekė. Jie pradėjo prie savo el. pašto korespondencijos pridėti stebėjimo priemonę, kad galėtų sekti el. laiškus, persiųstus į kitas paskyras, ketindami gauti geografinės vietos duomenis.
>>>2020 m. gegužės 10 d. atnaujinimas – APT35 (žavingas kačiukas) dalyvauja COVID-19 įsilaužimo kampanijoje
Kibernetinio saugumo ekspertų peržiūrėtas viešai prieinamų žiniatinklio archyvų rinkinys atskleidė, kad Irano įsilaužėlių grupė, žinoma kaip Charming Kitten, be kitų pavadinimų, buvo už balandžio mėnesio kibernetinės atakos prieš Kalifornijoje įsikūrusią vaistų kompaniją Gilead Sciences Inc, dalyvaujančią COVID-19 tyrimuose.
Vienu iš atvejų, su kuriais susidūrė saugumo tyrinėtojai, įsilaužėliai naudojo netikrą el. pašto prisijungimo puslapį, kuris buvo specialiai sukurtas slaptažodžiams pavogti iš aukščiausio lygio Gilead vadovo, dalyvaujančio verslo ir teisiniuose reikaluose. Išpuolis buvo rastas svetainėje, kuri naudojama žiniatinklio adresams nuskaityti dėl kenkėjiškos veiklos, tačiau tyrėjai negalėjo nustatyti, ar tai buvo sėkminga.
Vienas iš ataką tyrusių analitikų buvo Ohadas Zaidenbergas iš Izraelio kibernetinio saugumo įmonės „ClearSky“. Jis pakomentavo, kad balandžio mėnesio ataka prieš Gileadą buvo pastangos sukompromituoti įmonių el. pašto paskyras žinute, kuri apsimeta žurnalisto užklausa. Kiti analitikai, kurie neturėjo teisės komentuoti viešai, vėliau patvirtino, kad ataka naudojo domenus ir serverius, kuriuos anksčiau naudojo Irano įsilaužėlių grupė, žinoma kaip Charming Kitten.
Populiarių APT įsilaužėlių grupių diagrama – šaltinis: Securitystack.co
Irano diplomatinė atstovybė prie Jungtinių Tautų neigė kaip nors prisidėjusi prie tokių išpuolių, o atstovas Alireza Miryousefi pareiškė, kad „Irano vyriausybė nedalyvauja kibernetiniame kare“, – pridūrė: „Kibernetinė veikla, kurią Iranas vykdo, yra tik gynybinė ir siekiant apsisaugoti nuo tolesnių atakų. Irano infrastruktūra“.
„Gilead“ laikėsi įmonės politikos aptardamas kibernetinio saugumo klausimus ir atsisakė komentuoti. Bendrovė pastaruoju metu sulaukė didelio dėmesio, nes gamina antivirusinį vaistą remdesivir, kuris šiuo metu yra vienintelis gydymo būdas, padedantis pacientams, užsikrėtusiems COVID-19. „Gilead“ taip pat yra viena iš kompanijų, vadovaujančių mirtinos ligos gydymo tyrimams ir plėtrai, todėl tai yra pagrindinis žvalgybos pastangų tikslas.
