Burvīgs kaķēns APT

Burvīgs kaķēns APT Apraksts

Burvīgais kaķēns, kas pazīstams arī kā APT35 , ir progresīvs pastāvīgs drauds, hakeru grupa, kurai ir aizdomas, ka tās ir saistītas ar Irānu. Grupa ir pazīstama arī ar citiem nosaukumiem: Phosphorus, Ajax Security Team un Newscaster Team. Ir novērots, ka burvīgajam kaķēnam ir politiski motivētas kampaņas, bet arī tādas, kuras motivē finansiāli iemesli. Tie ir paredzēti cilvēktiesību aktīvistiem, mediju organizācijām un akadēmiskajam sektoram. Lielākā daļa viņu kampaņu bija vērstas uz uzbrukumu Apvienotajai Karalistei, ASV, Irānai un Izraēlai.

Burvīgo kaķēnu kampaņas

Viena no plašākajām hakeru grupas operācijām 2017. gadā tika veikta pret HBO. Kibernoziedznieki nopludināja aptuveni terabaitu datu ar personas informāciju par uzņēmuma darbiniekiem, gaidāmajiem šoviem un daudz ko citu. Citi uzbrukumi, ko organizēja Charming Kitten jeb APT35, ietvēra piekļuvi detalizētiem datiem, izmantojot ASV gaisa spēku pārbēdzēju, un Izraēlas kiberdrošības uzņēmuma tīmekļa vietnes viltošanu, lai nozagtu pieteikšanās informāciju. Uzbrukums, kas viņus saistīja ar Irānu, bija 2018. gada operācija, kuras mērķis bija politiskie aktīvisti, kas ietekmēja pret valsti vērstās sankcijas. Charming Kitten darbinieki izmantoja pikšķerēšanas e-pastus ar ļaunprātīgiem pielikumiem un sociālo inženieriju, lai uzdotos par augsta ranga profesionāļiem.

Irānas leņķis burvīgam kaķēnam

Mērķtiecīgas pikšķerēšanas kampaņas bija daļa no tā, kā APT35 (Charming Kitten) veic uzņēmējdarbību, kā to varēja redzēt viņu 2019. gada kampaņā, kuras mērķis bija uzdoties par bijušajiem Wall Street Journal žurnālistiem. Viņi izmantoja šo pieeju, lai iegremdētu savus nagus savos upuros, solot intervijas vai ielūgumus uz vebināriem, bieži vien par tā laika Irānas un starptautisko lietu tēmām.
Vienā no šiem gadījumiem uzbrucēji sastādīja e-pasta ziņojumu arābu valodā ar viltotu identitāti, kas atdarina reālās dzīves Farnazu Fasihi, bijušo Wall Street Journal darbinieku, kurš izdevumā strādājis 17 gadus. Burvīgā kaķēna darbinieki uzrādīja šo viltoto personību kā joprojām strādājošu WSJ.

Viltus intervijas pieprasījums. Avots: blog.certfa.com

E-pasta saturs bija šāds:

Sveiki *** ***** ******
Mani sauc Farnaz Fasihi. Esmu žurnālists laikrakstā Wall Street Journal.
WSJ Tuvo Austrumu komanda ir iecerējusi attīstītajās valstīs iepazīstināt ar veiksmīgiem nevietējiem indivīdiem. Jūsu darbība pētniecības un zinātnes filozofijas jomās lika man jūs iepazīstināt kā veiksmīgu irāni. Tuvo Austrumu komandas direktors lūdza mums izveidot interviju ar jums un dalīties ar dažiem jūsu svarīgajiem sasniegumiem ar mūsu auditoriju. Šī intervija varētu motivēt mūsu mīļotās valsts jauniešus atklāt savus talantus un virzīties uz panākumiem.
Lieki piebilst, ka šī intervija man personīgi ir liels pagodinājums, un es aicinu jūs pieņemt manu uzaicinājumu uz interviju.
Jautājumus profesionāli izstrādā manu kolēģu grupa, un iegūtā intervija tiks publicēta WSJ sadaļā Iknedēļas intervija. Es nosūtīšu jums jautājumus un intervijas prasības, tiklīdz jūs piekritīsit.
* Zemsvītras piezīme: nevietējais attiecas uz cilvēkiem, kas dzimuši citās valstīs.
Paldies par jūsu laipnību un uzmanību.
Farnaz Fasihi

E-pasta ziņojumos esošās saites bija īsa URL formātā, ko bieži izmantoja apdraudējuma dalībnieki, lai slēptu aiz tām esošās likumīgās saites, kuru mērķis bija datu apkopošana par IP adresēm, pārlūkprogrammas un OS versijām un citiem. Tas palīdzēja bruģēt ceļu turpmākiem uzbrukumiem, veidojot uzticību ar atkārtotu saziņu un gatavojoties brīdim, kad rīkoties.

Kad uzticēšanās laika gaitā ir izveidota, hakeri nosūta saiti, kurā ir ietverti iespējamie intervijas jautājumi. Computer Emergency Response Team in Farsi (CERTFA) paraugi parādīja, ka uzbrucēji izmantoja metodi, ko pēdējos gados izmantojuši pikšķerētāji, izmantojot Google vietņu mitinātās lapas.

Kad upuris atver saiti, viņš var tikt novirzīts uz citu viltotu lapu, kurā, izmantojot pikšķerēšanas komplektu, tiek mēģināts ierakstīt viņa pieteikšanās akreditācijas datus un divu faktoru autentifikācijas kodu.

Apburošo kaķēnu darbību kopsavilkums

2015. gadā pētnieki atklāja pirmo pikšķerēšanas uzbrukumu vilni, vēlāk ClearSky pētnieki atklāja masveida spiegošanas operācijas no 2016. līdz 2017. gadam. Burvīgā kaķēna operatori izmantoja uzdošanās, šķēpu pikšķerēšanas un ūdenstilpņu uzbrukumus.

2018. gadā Charming Kitten kibernoziedznieki ķērās pie ClearSky ar krāpniecisku vietni, kas uzdodas par drošības uzņēmuma portālu. Tajā gadā tika atklāti vairāki uzbrukumi Tuvo Austrumu mērķiem ar viltus e-pasta kampaņu un viltotām vietnēm.

2019. gadā Charming Kitten (APT35) aktivitātes paplašinājās, mērķējot uz tiem iedzīvotājiem, kas nav irāņi ASV, Tuvajos Austrumos un Francijā, kā arī sabiedrībā zināmas personas, kas nav akadēmiskās personas, kuras viņi sākotnēji bija meklējuši. Viņi sāka pievienot izsekotāju savai e-pasta sarakstei, lai sekotu e-pastiem, kas tika pārsūtīti uz citiem kontiem, lai iegūtu ģeogrāfiskās atrašanās vietas datus.

>>>Atjauninājums 2020. gada 10. maijā — APT35 (burvīgais kaķēns) ir iesaistīts Covid-19 uzlaušanas kampaņā

Publiski pieejamu tīmekļa arhīvu komplekts, ko pārskatīja kiberdrošības eksperti, atklāja, ka Irānas hakeru grupa, kas pazīstama ar nosaukumu Charming Kitten, cita starpā bija aiz aprīļa kiberuzbrukuma pret Gilead Sciences Inc Kalifornijā bāzēto zāļu uzņēmumu, kas iesaistīts COVID-19 izpētē.

Vienā no gadījumiem, ar kuriem saskārās drošības pētnieki, hakeri izmantoja viltus e-pasta pieteikšanās lapu, kas bija īpaši izstrādāta, lai nozagtu paroles no Gilead augstākā līmeņa vadītāja, kurš bija iesaistīts korporatīvajos un juridiskos jautājumos. Uzbrukums tika konstatēts vietnē, kas tiek izmantota, lai pārbaudītu tīmekļa adreses, lai noteiktu ļaunprātīgu darbību, taču pētnieki nevarēja noteikt, vai tas bija veiksmīgs.
Viens no analītiķiem, kas pētīja uzbrukumu, bija Ohads Zaidenbergs no Izraēlas kiberdrošības firmas ClearSky. Viņš komentēja, ka aprīļa uzbrukums Gileādam bija mēģinājums kompromitēt korporatīvos e-pasta kontus ar ziņojumu, kas uzdodas par žurnālista izmeklēšanu. Citi analītiķi, kuriem nebija tiesību publiski komentēt, kopš tā laika ir apstiprinājuši, ka uzbrukumā tika izmantoti domēni un serveri, kurus iepriekš izmantoja Irānas hakeru grupa, kas pazīstama kā Charming Kitten.

populāras apt hakeru grupas

Tendenču APT hakeru grupu diagramma — avots: Securitystack.co

Irānas diplomātiskā pārstāvniecība Apvienoto Nāciju Organizācijā ir noliegusi jebkādu saistību ar šādiem uzbrukumiem, un preses sekretāre Alireza Miryousefi paziņoja, ka "Irānas valdība neiesaistās kiberkarā", piebilstot, ka "Kiberdarbības, kuras Irāna veic, ir tikai aizsardzības un aizsargā pret turpmākiem uzbrukumiem. Irānas infrastruktūra."

Gilead ir ievērojis uzņēmuma politiku, apspriežot kiberdrošības jautājumus, un atteicās komentēt. Uzņēmumam pēdējā laikā ir pievērsta liela uzmanība, jo tas ir pretvīrusu zāļu Remdesivir ražotājs, kas šobrīd ir vienīgais līdzeklis, kas palīdz ar Covid-19 inficētiem pacientiem. Gilead ir arī viens no uzņēmumiem, kas vada nāvējošās slimības ārstēšanas izpēti un izstrādi, padarot to par galveno mērķi izlūkdatu vākšanas centieniem.