आकर्षक बिल्ली का बच्चा एपीटी

आकर्षक बिरालो , APT35 को रूपमा पनि चिनिन्छ, एक उन्नत लगातार खतरा हो, संदिग्ध इरानी सम्बन्ध भएको ह्याकर समूह। समूहलाई अन्य नामहरूमा पनि चिनिन्छ: फस्फोरस, अजाक्स सुरक्षा टोली, र न्यूजकास्टर टोली। आकर्षक बिरालाको बच्चा राजनीतिक रूपमा उत्प्रेरित अभियानहरू देखाइएको छ, तर आर्थिक कारणहरूले पनि उत्प्रेरित। तिनीहरूले मानव अधिकार कार्यकर्ताहरू, मिडिया संगठनहरू, र शैक्षिक क्षेत्रका लागि लक्ष्य राखेका छन्। उनीहरूका अधिकांश अभियानहरू युनाइटेड किंगडम, संयुक्त राज्य अमेरिका, इरान र इजरायलमा आक्रमणको लागि जोडिएका थिए।

आकर्षक बिराला अभियानहरू

ह्याकर समुहले गरेको सबैभन्दा व्यापक अपरेसनहरू मध्ये एक 2017 मा HBO विरुद्ध गरिएको थियो। साइबर अपराधीहरूले कम्पनीका कर्मचारीहरू, आगामी कार्यक्रमहरू, र थपको व्यक्तिगत जानकारीको साथ एक टेराबाइट डाटा लीक गरे। Charming Kitten, उर्फ APT35 द्वारा आयोजित अन्य आक्रमणहरूमा अमेरिकी वायुसेना डिफेक्टर मार्फत विस्तृत डाटामा पहुँच र लगइन विवरणहरू चोरी गर्न इजरायली साइबर सुरक्षा कम्पनीको वेबसाइटलाई स्पूफ गर्ने समावेश थियो। उनीहरूलाई इरानसँग जोड्ने आक्रमण 2018 को अपरेशन थियो जुन राजनीतिक कार्यकर्ताहरूलाई लक्षित थियो जसले देश विरुद्ध लक्षित प्रतिबन्धहरूलाई प्रभाव पारेको थियो। आकर्षक Kitten अपरेटिभहरूले खराब संलग्नकहरू र सामाजिक इन्जिनियरिङका साथ फिसिङ इमेलहरू प्रयोग गर्थे उच्च श्रेणीका पेशेवरहरूको रूपमा प्रस्तुत गर्न।

आकर्षक बिरालोको लागि ईरानी कोण

लक्षित फिसिङ अभियानहरू APT35 (चार्मिङ किटेन) ले व्यापार गर्ने तरिकाको अंश थिए, जसरी वाल स्ट्रीट जर्नलका पूर्व पत्रकारहरूको नक्कल गर्ने उद्देश्यले उनीहरूको २०१९ अभियानमा देख्न सकिन्छ। उनीहरूले त्यो दृष्टिकोण प्रयोग गरी आफ्ना पीडकहरूमा आफ्ना पञ्जाहरू डुबाउनको लागि अन्तर्वार्ता वा वेबिनारहरूमा निमन्त्रणा दिने वाचाको साथ प्रयोग गर्थे, प्रायः इरानी र अन्तर्राष्ट्रिय मामिलाहरूका विषयमा।
यी मध्ये एक मामिलामा, आक्रमणकारीहरूले वाल स्ट्रीट जर्नलका 17 वर्षदेखि प्रकाशनको लागि काम गरेका भूतपूर्व कर्मचारी फर्नाज फसिहीको वास्तविक जीवनको नक्कल गर्दै नक्कली पहिचान अन्तर्गत अरबी भाषामा इमेल लेखे। आकर्षक किटन अपरेटिभहरूले यो नक्कली व्यक्तित्व अझै पनि WSJ का लागि काम गरिरहेको रूपमा प्रस्तुत गरे।

नक्कली अन्तर्वार्ता अनुरोध। स्रोत: blog.certfa.com

इमेलको सामग्री निम्नानुसार थियो:

नमस्कार ************
मेरो नाम Farnaz Fasihi हो। म वाल स्ट्रीट जर्नल पत्रिकामा पत्रकार हुँ।
WSJ को मध्य पूर्व टोली विकसित देशहरूमा सफल गैर-स्थानीय व्यक्तिहरूलाई परिचय गराउन चाहन्छ। अनुसन्धान र विज्ञानको दर्शनको क्षेत्रमा तपाईका गतिविधिहरूले मलाई तपाईलाई एक सफल इरानीको रूपमा परिचय गराउन प्रेरित गर्यो। मध्य पूर्व टोलीका निर्देशकले हामीलाई तपाइँसँग अन्तर्वार्ता सेट गर्न र तपाइँका केही महत्त्वपूर्ण उपलब्धिहरू हाम्रा दर्शकहरूसँग साझा गर्न आग्रह गर्नुभयो। यो अन्तर्वार्ताले हाम्रो प्यारो देशका युवाहरूलाई आफ्नो प्रतिभा पत्ता लगाउन र सफलतातर्फ अघि बढ्न प्रेरित गर्न सक्छ।
भन्नै पर्दैन, यो अन्तर्वार्ता व्यक्तिगत रूपमा मेरो लागि ठूलो सम्मान हो, र म तपाईंलाई अन्तर्वार्ताको लागि मेरो निमन्त्रणा स्वीकार गर्न आग्रह गर्दछु।
प्रश्नहरू मेरा सहकर्मीहरूको समूहद्वारा व्यावसायिक रूपमा डिजाइन गरिएका हुन् र परिणाम स्वरूप अन्तर्वार्ता WSJ को साप्ताहिक अन्तर्वार्ता खण्डमा प्रकाशित गरिनेछ। तपाईंले स्वीकार गरेपछि म तपाईंलाई अन्तर्वार्ताका प्रश्नहरू र आवश्यकताहरू पठाउनेछु।
*फुटनोट: गैर-स्थानीय भन्नाले अन्य देशहरूमा जन्मिएका मानिसहरूलाई जनाउँछ।
तपाईंको दया र ध्यान को लागी धन्यवाद।
फर्नाज फसिही

इमेलहरू भित्रका लिङ्कहरू छोटो URL ढाँचामा थिए, प्रायः खतरा अभिनेताहरूले तिनीहरूको पछाडि वैध लिङ्कहरू लुकाउन प्रयोग गर्थे, IP ठेगानाहरू, ब्राउजर, र OS संस्करणहरू र थपको डेटा सङ्कलनमा लक्ष्य राख्दै। यसले बारम्बार सञ्चारको साथ विश्वास निर्माण गरेर र कार्य गर्ने क्षणको लागि तयारी गरेर थप आक्रमणहरूको मार्ग प्रशस्त गर्न मद्दत गर्‍यो।

एक पटक विश्वास समय संग स्थापित भएपछि, ह्याकरहरूले कथित साक्षात्कार प्रश्नहरू समावेश गर्ने लिङ्क पठाउँछन्। कम्प्युटर इमर्जेन्सी रेस्पोन्स टोली इन फार्सी (CERTFA) नमूनाहरूले आक्रमणकारीहरूले हालैका वर्षहरूमा गुगल साइटहरू-होस्ट गरिएका पृष्ठहरूमा फिशरहरूले प्रयोग गर्ने विधि प्रयोग गरिरहेको देखाएको छ।

एकपटक पीडितले लिङ्क खोल्दा, उनीहरूलाई अर्को नक्कली पृष्ठमा रिडिरेक्ट गर्न सकिन्छ जसले फिसिङ किटको प्रयोग गरेर उनीहरूको लगइन प्रमाणहरू र दुई-कारक प्रमाणीकरण कोड रेकर्ड गर्ने प्रयास गर्दछ।

आकर्षक बिराला सञ्चालनको सारांश

2015 मा फिसिङ आक्रमणको पहिलो लहर अन्वेषकहरूले पत्ता लगाएका थिए, पछि ClearSky मा शोधकर्ताहरूले 2016 देखि 2017 सम्म ठूलो मात्रामा जासुसी कार्यहरू पत्ता लगाएका थिए। आकर्षक किटेन अपरेटरहरूले प्रतिरूपण, भाला-फिशिङ, र वाटरिङ होल आक्रमणहरू प्रयोग गर्थे।

2018 मा Charming Kitten साइबर अपराधीहरूले ClearSky लाई सुरक्षा कम्पनीको पोर्टलको नक्कल गर्ने धोखाधडी वेबसाइटको पछि लागे। नक्कली इमेल अभियान र नक्कली वेबसाइटहरूद्वारा मध्य पूर्वी लक्ष्यहरू विरुद्ध त्यो वर्ष थप आक्रमणहरू पहिचान गरियो।

2019 मा Charming Kitten (APT35) गतिविधिहरू अमेरिका, मध्य पूर्व र फ्रान्समा गैर-इरानीहरूलाई लक्षित गरेर विस्तार गरियो, तिनीहरूले प्रारम्भिक रूपमा जान लागेका शैक्षिक शैतानहरू बाहिरका सार्वजनिक व्यक्तित्वहरूलाई लक्षित गरेर। तिनीहरूले आफ्नो इमेल पत्राचारमा ट्र्याकर संलग्न गर्न थाले अन्य खाताहरूमा फर्वार्ड गरिएका इमेलहरू पछ्याउन, भौगोलिक स्थान डेटा प्राप्त गर्ने उद्देश्यले।

>>>मे १०, २०२० अपडेट गर्नुहोस् - APT35 (चार्मिङ किटेन) COVID-19 ह्याकिङ अभियानमा संलग्न

साइबरसुरक्षा विशेषज्ञहरूद्वारा समीक्षा गरिएको सार्वजनिक रूपमा उपलब्ध वेब अभिलेखहरूको सेटले पत्ता लगायो कि चार्मिङ किटन भनेर चिनिने इरानी ह्याकिङ समूह, अन्य नामहरू मध्ये, कोविड-19 अनुसन्धानमा संलग्न गिलियड साइन्सेस इंक क्यालिफोर्नियामा आधारित औषधि कम्पनी विरुद्ध अप्रिलमा साइबर आक्रमणको पछाडि थियो।

सुरक्षा अनुसन्धानकर्ताहरू भेटिएको एउटा उदाहरणमा, ह्याकरहरूले कर्पोरेट र कानुनी मामिलाहरूमा संलग्न शीर्ष गिलियड कार्यकारीबाट पासवर्डहरू चोर्नको लागि विशेष रूपमा डिजाइन गरिएको नक्कली इमेल लगइन पृष्ठ प्रयोग गरे। आक्रमण एक वेबसाइटमा फेला पर्यो जुन दुर्भावनापूर्ण गतिविधिको लागि वेब ठेगानाहरू स्क्यान गर्न प्रयोग गरिन्छ, तर अनुसन्धानकर्ताहरूले यो सफल भयो कि भनेर निर्धारण गर्न सकेनन्।
आक्रमणको अनुसन्धान गर्ने विश्लेषकहरू मध्ये एक इजरायली साइबर सुरक्षा फर्म क्लियरस्काईका ओहाद जाइडेनबर्ग थिए। उनले टिप्पणी गरे कि गिलियड विरुद्ध अप्रिल आक्रमण कर्पोरेट ईमेल खाताहरू एक पत्रकार सोधपुछको नक्कल गर्ने सन्देशको साथ सम्झौता गर्ने प्रयास थियो। अन्य विश्लेषकहरू, जो सार्वजनिक रूपमा टिप्पणी गर्न अधिकृत थिएनन्, त्यसपछि पुष्टि गरेका छन् कि आक्रमणले डोमेनहरू र सर्भरहरू प्रयोग गरेको थियो जुन इरानी ह्याकिङ समूहले चार्मिङ किटन भनेर चिनिन्थ्यो।

ट्रेन्डिङ APT ह्याकर समूह चार्ट - स्रोत: Securitystack.co

संयुक्त राष्ट्रका लागि इरानको कूटनीतिक नियोगले त्यस्ता आक्रमणहरूमा कुनै संलग्नता अस्वीकार गरेको छ, प्रवक्ता अलिरेजा मिरोसेफीले भनेका छन्, "इरानी सरकारले साइबर युद्धमा संलग्न छैन," थपे, "इरानले गरेको साइबर गतिविधिहरू पूर्णतया रक्षात्मक छन् र थप आक्रमणहरूबाट जोगाउन। इरानी पूर्वाधार।"

गिलियडले साइबर सुरक्षा मामिलाहरूमा छलफल गर्न कम्पनीको नीति अनुसरण गरेको छ र टिप्पणी गर्न अस्वीकार गर्‍यो। कम्पनीले भर्खरै धेरै ध्यान प्राप्त गरेको छ, किनकि यो एन्टिभाइरल औषधि रेमडेसिभिरको निर्माता हो, जुन हाल COVID-19 संक्रमित बिरामीहरूलाई मद्दत गर्ने एक मात्र उपचार हो। गिलियड घातक रोगको उपचारको अनुसन्धान र विकासको नेतृत्व गर्ने कम्पनीहरू मध्ये एक हो, यसलाई बुद्धिमत्ता सङ्कलन प्रयासहरूको लागि मुख्य लक्ष्य बनाउँदै।