APT35

APT35 Opis

Apt35 grupy grupowe hakerów APT35 (Advanced Persistent Threat) to grupa hakerska, która prawdopodobnie pochodzi z Iranu. Ta grupa hakerska jest również znana pod kilkoma innymi aliasami – Newscaster Team, Phosphorus, Charming Kitten i Ajax Security Team. Grupa hakerska APT35 jest zwykle zaangażowana zarówno w kampanie motywowane politycznie, jak i finansowo. Grupa hakerska APT35 ma tendencję do koncentrowania swoich wysiłków przede wszystkim na podmiotach zaangażowanych w działalność na rzecz praw człowieka, różnych organizacjach medialnych i sektorze akademickim. Większość kampanii realizowana jest w Stanach Zjednoczonych, Izraelu, Iranie i Wielkiej Brytanii.

Popularne kampanie APT35

Jedną z najbardziej znanych operacji APT35 jest ta przeprowadzona przeciwko HBO, która miała miejsce w 2017 roku. APT35 wyciekł w niej ponad 1 TB danych, na które składały się dane osobowe pracowników i programy, które jeszcze nie zostały oficjalnie wyemitowane. Inną niesławną kampanią APT35, która umieściła je na mapie, jest ta, w której uczestniczył również uciekinier z Sił Powietrznych USA. Osoba, o której mowa, pomogła APT35 w uzyskaniu dostępu do tajnych danych rządowych. W 2018 roku grupa APT35 stworzyła stronę internetową, która miała naśladować legalną izraelską firmę zajmującą się cyberbezpieczeństwem. Jedyna różnica polegała na tym, że fałszywa strona internetowa miała nieznacznie zmienioną nazwę domeny. Ta kampania pomogła APT35 uzyskać dane logowania niektórych klientów firmy. Ostatnia niesławna kampania z udziałem APT35 została przeprowadzona w grudniu 2018 roku. W tej operacji grupa APT35 działała pod pseudonimem Charming Kitten. Operacja ta była wymierzona w różnych działaczy politycznych, którzy mieli wpływ na sankcje gospodarcze, a także sankcje wojskowe nałożone wówczas na Iran. Grupa APT35 podawała się za wysokiej rangi specjalistów zajmujących się tymi samymi dziedzinami, co ich cele. Osoby atakujące wykorzystywały dostosowane wiadomości phishingowe zawierające fałszywe załączniki, a także fałszywe profile w mediach społecznościowych.

Phishing za pomocą fałszywych wiadomości e-mail z wywiadami

Ukierunkowane kampanie phishingowe są częścią modus operandi Charming Kitten, w którym hakerzy wykorzystują fałszywe wiadomości e-mail i socjotechnikę jako metody wykonania. W jednej z kampanii z 2019 r. grupa Charming Kitten podszywała się pod byłych dziennikarzy Wall Street Journal (WSJ) i zwróciła się do swoich ofiar z fałszywym scenariuszem wywiadu. Grupa została również zauważona przy użyciu różnych scenariuszy, takich jak „Wywiad CNN” i „Zaproszenie na seminarium internetowe Deutsche Welle”, zwykle wokół tematów irańskich i międzynarodowych.

W jednym konkretnym przypadku napastnicy stworzyli fałszywy e-mail w języku arabskim, wykorzystując tożsamość Farnaza Fassihi, obecnie dziennikarza New York Times, który wcześniej pracował dla The Wall Street Journal przez 17 lat. Co ciekawe, hakerzy przedstawili Farnaz Fassihi jako pracującą dla jej byłego pracodawcy, The Wall Street Journal.


Fałszywy e-mail z prośbą o rozmowę kwalifikacyjną — źródło: blog.certfa.com

Tłumaczenie e-maili:

Witaj *** ***** ******
Nazywam się Farnaz Fasihi. Jestem dziennikarzem gazety Wall Street Journal.
Zespół WSJ z Bliskiego Wschodu zamierza wprowadzić odnoszących sukcesy nielokalnych jednostek w krajach rozwiniętych. Twoje działania w dziedzinie badań i filozofii nauki skłoniły mnie do przedstawienia Cię jako odnoszącego sukcesy Irańczyka. Dyrektor zespołu ds. Bliskiego Wschodu poprosił nas o umówienie z Państwem wywiadu i podzielenie się z naszą publicznością niektórymi z Waszych ważnych osiągnięć. Ten wywiad może zmotywować młodzież naszego ukochanego kraju do odkrycia swoich talentów i dążenia do sukcesu.
Nie trzeba dodawać, że ten wywiad jest dla mnie osobiście wielkim zaszczytem i zachęcam do przyjęcia mojego zaproszenia na rozmowę.
Pytania są projektowane profesjonalnie przez grupę moich kolegów, a wynikowy wywiad zostanie opublikowany w dziale Wywiad Tygodniowy WSJ. Wyślę Ci pytania i wymagania dotyczące rozmowy kwalifikacyjnej, gdy tylko ją zaakceptujesz.
*Przypis: Nielokalne odnosi się do osób urodzonych w innych krajach.
Dziękuję za życzliwość i uwagę.
Farnaz Fasihi

Wszystkie odsyłacze zawarte w wiadomościach e-mail miały skrócony format adresu URL, który hakerzy wykorzystywali do kierowania ofiary na legalne adresy, jednocześnie gromadząc istotne informacje o ich urządzeniach, takie jak system operacyjny, przeglądarka i adres IP. Informacje te były potrzebne hakerom w ramach przygotowań do głównego ataku na ich cele.


Przykład fałszywej strony WSJ hostowanej w Witrynach Google — źródło: blog.certfa.com

Po zdobyciu względnego zaufania do zamierzonego celu hakerzy wysyłali im unikalny link, który rzekomo zawierał pytania z rozmowy kwalifikacyjnej. Według próbek przetestowanych przez zespół reagowania na incydenty komputerowe w języku perskim (CERTFA), osoby atakujące wykorzystują stosunkowo nową metodę, która zyskała dużą popularność wśród phisherów w ciągu ostatniego roku, hostując strony w Witrynach Google.

Gdy ofiara kliknie przycisk „Pobierz” na stronie Google Site, zostanie przekierowana na inną fałszywą stronę, która spróbuje przechwycić dane logowania dla jej adresu e-mail i dwuskładnikowego kodu uwierzytelniającego, używając zestawów phishingowych, takich jak Modlishka.

Złośliwe oprogramowanie DownPaper APT35

Narzędzie DownPaper to trojan typu backdoor, który jest najczęściej używany jako ładunek pierwszego etapu i ma możliwości:

  • Nawiąż połączenie z serwerem C&C (Command & Control) atakującego i otrzymuj polecenia oraz szkodliwe ładunki, które mają być wykonywane na infiltrowanym hoście.
  • Uzyskaj trwałość, manipulując rejestrem systemu Windows.
  • Zbierz informacje o zaatakowanym systemie, takie jak dane dotyczące sprzętu i oprogramowania.
  • Wykonaj polecenia CMD i PowerShell.

Grupa hakerska APT35 to bardzo wytrwała grupa osób i jest mało prawdopodobne, że planują wstrzymanie swoich działań w najbliższym czasie. Mając na uwadze, że klimat polityczny wokół Iranu od jakiegoś czasu się ociepla, jest prawdopodobne, że w przyszłości będziemy słyszeć o kampaniach grupy APT35.

Aktualizacja 10 maja 2020 r. – APT35 zaangażowany w kampanię hakerską związaną z COVID-19

Zestaw publicznie dostępnych archiwów internetowych przejrzanych przez ekspertów ds. cyberbezpieczeństwa ujawnił, że za kwietniowym cyberatakiem na kalifornijską firmę farmaceutyczną Gilead Sciences Inc. zaangażowaną w badania nad COVID-19 stała irańska grupa hakerska, znana między innymi jako Charming Kitten.

W jednym z przypadków, na jakie natknęli się analitycy bezpieczeństwa, hakerzy wykorzystali fałszywą stronę logowania do poczty e-mail, która została specjalnie zaprojektowana do kradzieży haseł od najwyższego kierownictwa Gilead, zaangażowanego w sprawy korporacyjne i prawne. Atak został wykryty na stronie internetowej, która służy do skanowania adresów internetowych pod kątem szkodliwej aktywności, ale badacze nie byli w stanie określić, czy się powiódł.

popularne grupy hakerów
Wykres popularnych grup hakerów APT — źródło: Securitystack.co

Jednym z analityków badających atak był Ohad Zaidenberg z izraelskiej firmy zajmującej się cyberbezpieczeństwem ClearSky. Skomentował, że kwietniowy atak na Gilead był próbą zhakowania firmowych kont e-mail za pomocą wiadomości podszywającej się pod zapytanie dziennikarza. Inni analitycy, którzy nie byli upoważnieni do publicznego komentowania, potwierdzili, że w ataku wykorzystano domeny i serwery, które były wcześniej wykorzystywane przez irańską grupę hakerską znaną jako Charming Kitten.

Misja dyplomatyczna Iranu przy ONZ zaprzeczyła jakiemukolwiek udziałowi w takich atakach , a rzecznik Alireza Miryousefi stwierdził, że „rząd irański nie angażuje się w wojnę cybernetyczną”, dodając: „Działania cybernetyczne, w które angażuje się Iran, są czysto defensywne i mają na celu ochronę przed dalszymi atakami na Infrastruktura irańska”.

kraje docelowe z Iranu
Kraje docelowe w ostatnich irańskich kampaniach cybernetycznych — źródło: Stratfor.com

Gilead przestrzegał polityki firmy w zakresie omawiania kwestii cyberbezpieczeństwa i odmówił komentarza. Firma cieszy się ostatnio dużym zainteresowaniem, ponieważ jest producentem leku przeciwwirusowego remdesivir, który jest obecnie jedynym sposobem leczenia, który pomaga pacjentom zakażonym COVID-19. Gilead jest również jedną z firm prowadzących badania i rozwój leczenia śmiertelnej choroby, co czyni ją głównym celem działań wywiadowczych.