APT35

APT35 Apraksts

apt35 hakeru grupu uzbrukumi APT35 (Advanced Persistent Threat) ir hakeru grupa, kuras izcelsme, domājams, ir Irāna. Šī hakeru grupa ir pazīstama arī ar vairākiem citiem pseidonīmiem – Newscaster Team, Phosphorus, Charming Kitten un Ajax Security Team. APT35 hakeru grupa parasti iesaistās gan politiski motivētās, gan arī finansiāli motivētās kampaņās. APT35 hakeru grupai ir tendence koncentrēt savus centienus pret cilvēktiesību aktīvismā iesaistītajiem dalībniekiem, dažādām plašsaziņas līdzekļu organizācijām un akadēmisko sektoru. Lielākā daļa kampaņu tiek veiktas ASV, Izraēlā, Irānā un Apvienotajā Karalistē.

Populāras APT35 kampaņas

Viena no bēdīgi slavenākajām APT35 operācijām ir tā, kas tika veikta 2017. gadā pret HBO. Tajā APT35 nopludināja vairāk nekā 1 TB datu, kas sastāvēja no personāla personas datiem un pārraidēm, kas vēl nebija oficiāli pārraidītas. Vēl viena bēdīgi slavena APT35 kampaņa, kas tos ievietoja kartē, ir kampaņa, kurā bija iesaistīts arī ASV gaisa spēku pārbēdzējs. Attiecīgā persona palīdzēja APT35 piekļūt klasificētiem valdības datiem. 2018. gadā grupa APT35 izveidoja vietni, kuras mērķis bija atdarināt likumīgu Izraēlas kiberdrošības uzņēmumu. Vienīgā atšķirība bija tā, ka viltotajai vietnei bija nedaudz mainīts domēna nosaukums. Šī kampaņa palīdzēja APT35 iegūt dažu uzņēmuma klientu pieteikšanās informāciju. Pēdējā bēdīgi slavenā kampaņa ar APT35 tika īstenota 2018. gada decembrī. Šajā operācijā grupa APT35 darbojās ar aizstājvārdu Charming Kitten. Šī operācija bija vērsta pret dažādiem politiskajiem aktīvistiem, kuriem bija ietekme uz ekonomiskajām sankcijām, kā arī militārajām sankcijām, kas tajā laikā tika noteiktas Irānai. APT35 grupa izvirzījās kā augsta ranga profesionāļi, kas iesaistīti tajās pašās jomās kā viņu mērķi. Uzbrucēji izmantoja pielāgotus pikšķerēšanas e-pastus ar viltotiem pielikumiem, kā arī viltotus sociālo mediju profilus.

Pikšķerēšana ar viltus intervijas e-pastiem

Mērķtiecīgas pikšķerēšanas kampaņas ir daļa no Charming Kitten modus operandi, un hakeri izmanto viltus e-pastus un sociālo inženieriju kā izpildes metodes. Vienā 2019. gada kampaņā grupa Charming Kitten uzdodas par bijušajiem Wall Street Journal (WSJ) žurnālistiem un vērsās pie saviem paredzētajiem upuriem ar viltus intervijas scenāriju. Grupa ir arī pamanīta, izmantojot dažādus scenārijus, piemēram, ''CNN interviju'' un ''Uzaicinājumu uz Deutsche Welle Webinar'', parasti ap Irānas un starptautisko lietu tēmām.

Vienā konkrētā gadījumā uzbrucēji izveidoja viltus e-pastu arābu valodā, izmantojot Farnaza Fasihi, pašlaik New York Times žurnālista, identitāti, kurš iepriekš bija strādājis The Wall Street Journal 17 gadus. Interesanti, ka hakeri iepazīstināja ar Farnazu Fasihi kā pie viņas bijušā darba devēja The Wall Street Journal.


Viltus intervijas pieprasījuma e-pasts — Avots: blog.certfa.com

E-pasta tulkojums:

Sveiki *** ***** ******
Mani sauc Farnaz Fasihi. Esmu žurnālists laikrakstā Wall Street Journal.
WSJ Tuvo Austrumu komanda ir iecerējusi attīstītajās valstīs iepazīstināt ar veiksmīgiem nevietējiem indivīdiem. Jūsu darbība pētniecības un zinātnes filozofijas jomās lika man jūs iepazīstināt kā veiksmīgu irāni. Tuvo Austrumu komandas direktors lūdza mums izveidot interviju ar jums un dalīties ar dažiem jūsu svarīgajiem sasniegumiem ar mūsu auditoriju. Šī intervija varētu motivēt mūsu mīļotās valsts jauniešus atklāt savus talantus un virzīties uz panākumiem.
Lieki piebilst, ka šī intervija man personīgi ir liels pagodinājums, un es aicinu jūs pieņemt manu uzaicinājumu uz interviju.
Jautājumus profesionāli izstrādā manu kolēģu grupa, un iegūtā intervija tiks publicēta WSJ sadaļā Iknedēļas intervija. Es nosūtīšu jums jautājumus un intervijas prasības, tiklīdz jūs piekritīsit.
* Zemsvītras piezīme: nevietējais attiecas uz cilvēkiem, kas dzimuši citās valstīs.
Paldies par jūsu laipnību un uzmanību.
Farnaz Fasihi

Visas e-pastā ietvertās saites bija saīsinātā URL formātā, ko izmantoja hakeri, lai novirzītu upuri uz likumīgām adresēm, vienlaikus apkopojot būtisku informāciju par savām ierīcēm, piemēram, operētājsistēmu, pārlūkprogrammu un IP adresi. Šī informācija bija nepieciešama no hakeriem, gatavojoties galvenajam uzbrukumam viņu mērķiem.


Viltus WSJ lapas paraugs, kas mitināts Google vietnēs — avots: blog.certfa.com

Pēc relatīvas uzticēšanās nodibināšanas paredzētajam mērķim hakeri viņiem nosūtīja unikālu saiti, kurā it kā ir ietverti intervijas jautājumi. Saskaņā ar paraugiem, ko pārbaudījusi Computer Emergency Response Team in Farsi (CERTFA), uzbrucēji izmanto salīdzinoši jaunu metodi, kas pēdējā gada laikā ir ieguvusi lielu popularitāti pikšķerētāju vidū, mitinot lapas Google vietnēs.

Kad upuris Google vietnes lapā noklikšķinās uz pogas Lejupielādēt, viņš tiks novirzīts uz citu viltotu lapu, kas mēģinās iegūt viņa e-pasta adreses pieteikšanās akreditācijas datus un divu faktoru autentifikācijas kodu, izmantojot pikšķerēšanas komplektus, piemēram, Modlishka.

APT35 DownPaper ļaunprogrammatūra

DownPaper rīks ir aizmugures Trojas zirgs, ko galvenokārt izmanto kā pirmā posma lietderīgo slodzi, un tam ir šādas iespējas:

  • Izveidojiet savienojumu ar uzbrucēja C&C (Command & Control) serveri un saņemiet komandas un kaitīgās slodzes, kas jāizpilda iefiltrētajā resursdatorā.
  • Iegūstiet noturību, manipulējot ar Windows reģistru.
  • Apkopojiet informāciju par apdraudēto sistēmu, piemēram, aparatūras un programmatūras datus.
  • Izpildiet CMD un PowerShell komandas.

APT35 hakeru grupa ir ļoti noturīga indivīdu grupa, un ir maz ticams, ka viņi drīzumā plāno pārtraukt savas darbības. Paturot prātā, ka politiskais klimats ap Irānu jau kādu laiku ir karsts, iespējams, ka mēs turpināsim dzirdēt par APT35 grupas kampaņām arī turpmāk.

Atjauninājums 2020. gada 10. maijā — APT35 ir iesaistīts Covid-19 uzlaušanas kampaņā

Publiski pieejamu tīmekļa arhīvu komplekts, ko pārskatīja kiberdrošības eksperti, atklāja, ka Irānas hakeru grupa, kas pazīstama ar nosaukumu Charming Kitten, cita starpā bija aiz aprīļa kiberuzbrukuma pret Gilead Sciences Inc Kalifornijā bāzēto zāļu uzņēmumu, kas iesaistīts COVID-19 izpētē.

Vienā no gadījumiem, ar kuriem saskārās drošības pētnieki, hakeri izmantoja viltus e-pasta pieteikšanās lapu, kas bija īpaši izstrādāta, lai nozagtu paroles no Gilead augstākā līmeņa vadītāja, kas bija iesaistīts korporatīvajos un juridiskos jautājumos. Uzbrukums tika konstatēts vietnē, kas tiek izmantota, lai pārbaudītu tīmekļa adreses, lai noteiktu ļaunprātīgu darbību, taču pētnieki nevarēja noteikt, vai tas bija veiksmīgs.

populāras apt hakeru grupas
Tendenču APT hakeru grupu diagramma — avots: Securitystack.co

Viens no analītiķiem, kas pētīja uzbrukumu, bija Ohads Zaidenbergs no Izraēlas kiberdrošības firmas ClearSky. Viņš komentēja, ka aprīļa uzbrukums Gileādam bija mēģinājums kompromitēt korporatīvos e-pasta kontus ar ziņojumu, kas uzdodas par žurnālista izmeklēšanu. Citi analītiķi, kuriem nebija tiesību publiski komentēt, kopš tā laika ir apstiprinājuši, ka uzbrukumā tika izmantoti domēni un serveri, kurus iepriekš izmantoja Irānas hakeru grupa, kas pazīstama kā Charming Kitten.

Irānas diplomātiskā pārstāvniecība Apvienoto Nāciju Organizācijā ir noliegusi jebkādu saistību ar šādiem uzbrukumiem , un preses sekretārs Alireza Miryousefi paziņoja, ka "Irānas valdība neiesaistās kiberkarā", piebilstot, ka "Kiberdarbības, kuras Irāna veic, ir tikai aizsardzības un aizsargā pret turpmākiem uzbrukumiem. Irānas infrastruktūra."

mērķēja uz Irānas uzbrucējiem valstīm
Valstis, kuru mērķauditorija ir nesenās Irānas kiberkampaņas — Avots: Stratfor.com

Gilead ir ievērojis uzņēmuma politiku, apspriežot kiberdrošības jautājumus, un atteicās komentēt. Uzņēmumam pēdējā laikā ir pievērsta liela uzmanība, jo tas ir pretvīrusu zāļu remdesivir ražotājs, kas šobrīd ir vienīgais ārstēšanas līdzeklis, kas palīdz ar Covid-19 inficētiem pacientiem. Gilead ir arī viens no uzņēmumiem, kas vada nāvējošās slimības ārstēšanas izpēti un izstrādi, padarot to par galveno mērķi izlūkdatu vākšanas centieniem.