Uroczy kotek APT
Charming Kitten, znany również jako APT35 , to zaawansowane trwałe zagrożenie, grupa hakerów z podejrzeniami o powiązania z Iranem. Grupa znana jest również pod innymi nazwami: Phosphorus, Ajax Security Team i Newscaster Team. Zaobserwowano, że Charming Kitten prowadzi kampanie motywowane politycznie, ale także motywowane względami finansowymi. Są skierowane do działaczy na rzecz praw człowieka, organizacji medialnych i sektora akademickiego. Większość ich kampanii naciskała na ataki na Wielką Brytanię, Stany Zjednoczone, Iran i Izrael.
Spis treści
Kampanie Charming Kitten
Jedna z bardziej ekspansywnych operacji podjętych przez grupę hakerów została przeprowadzona przeciwko HBO w 2017 roku. Cyberprzestępcy ujawnili terabajt danych z danymi osobowymi pracowników firmy, nadchodzącymi programami i nie tylko. Inne ataki przeprowadzone przez Charming Kitten, czyli APT35, obejmowały dostęp do szczegółowych danych przez uciekiniera z Sił Powietrznych Stanów Zjednoczonych oraz fałszowanie strony internetowej izraelskiej firmy zajmującej się cyberbezpieczeństwem w celu kradzieży danych logowania. Atak, który związał ich z Iranem, był operacją z 2018 roku wymierzoną w działaczy politycznych, którzy wpłynęli na sankcje wymierzone w ten kraj. Agenci Charming Kitten wykorzystywali wiadomości phishingowe ze złośliwymi załącznikami i socjotechniką, aby udawać wysokiej rangi profesjonalistów.
Irański kąt dla uroczego kotka
Ukierunkowane kampanie phishingowe były częścią sposobu, w jaki APT35 (Charming Kitten) prowadzi interesy, jak widać na przykładzie kampanii z 2019 r., której celem było podszywanie się pod byłych dziennikarzy Wall Street Journal. Wykorzystali to podejście, aby zatopić swoje pazury w swoich ofiarach, obiecując wywiady lub zaproszenia na webinaria, często na temat spraw irańskich i międzynarodowych w tamtym czasie.
W jednym z tych przypadków napastnicy napisali wiadomość e-mail w języku arabskim pod fałszywą tożsamością imitującą prawdziwego Farnaza Fassihiego, byłego pracownika Wall Street Journal, który od 17 lat pracuje dla publikacji. Agenci Charming Kitten przedstawili tę fałszywą postać jako wciąż pracującą dla WSJ.
Fałszywa prośba o rozmowę kwalifikacyjną. Źródło: blog.certfa.com
Treść e-maila była następująca:
Witaj *** ***** ******
Nazywam się Farnaz Fasihi. Jestem dziennikarzem gazety Wall Street Journal.
Zespół WSJ z Bliskiego Wschodu zamierza wprowadzić odnoszących sukcesy nielokalnych jednostek w krajach rozwiniętych. Twoje działania w dziedzinie badań i filozofii nauki skłoniły mnie do przedstawienia Cię jako odnoszącego sukcesy Irańczyka. Dyrektor zespołu ds. Bliskiego Wschodu poprosił nas o umówienie z Państwem wywiadu i podzielenie się z naszą publicznością niektórymi z Waszych ważnych osiągnięć. Ten wywiad może zmotywować młodzież naszego ukochanego kraju do odkrycia swoich talentów i dążenia do sukcesu.
Nie trzeba dodawać, że ten wywiad jest dla mnie osobiście wielkim zaszczytem i zachęcam do przyjęcia mojego zaproszenia na rozmowę.
Pytania są projektowane profesjonalnie przez grupę moich kolegów, a wynikowy wywiad zostanie opublikowany w dziale Wywiad Tygodniowy WSJ. Wyślę Ci pytania i wymagania dotyczące rozmowy kwalifikacyjnej, gdy tylko ją zaakceptujesz.
*Przypis: Nielokalne odnosi się do osób urodzonych w innych krajach.
Dziękuję za życzliwość i uwagę.
Farnaz Fasihi
Odsyłacze w wiadomościach e-mail miały krótki format adresu URL, często używanego przez cyberprzestępców do ukrywania pod nimi legalnych linków, mających na celu zbieranie danych dotyczących adresów IP, przeglądarek, wersji systemu operacyjnego i nie tylko. Pomogło to utorować drogę do dalszych ataków, budując zaufanie dzięki powtarzającej się komunikacji i przygotowując się na chwilę do działania.
Po zbudowaniu zaufania hakerzy wysyłają link zawierający rzekome pytania do rozmowy kwalifikacyjnej. Próbki Computer Emergency Response Team in Farsi (CERTFA) wykazały, że osoby atakujące wykorzystywały metodę stosowaną przez phisherów w ostatnich latach w przypadku stron hostowanych w Witrynach Google.
Gdy ofiara otworzy łącze, może zostać przekierowana na inną fałszywą stronę, która za pomocą zestawu phishingowego spróbuje zarejestrować jej dane logowania i dwuskładnikowy kod uwierzytelniający.
Podsumowanie operacji Charming Kitten
W 2015 roku naukowcy odkryli pierwszą falę ataków phishingowych, a późniejsze operacje szpiegowskie na masową skalę odkryli w latach 2016-2017 badacze z ClearSky. Operatorzy Charming Kitten używali podszywania się, ataków typu spear-phishing i wodopoju.
W 2018 roku cyberprzestępcy z Charming Kitten zaatakowali ClearSky z fałszywą stroną internetową podszywającą się pod portal firmy zajmującej się bezpieczeństwem. W tym roku zidentyfikowano więcej ataków na cele z Bliskiego Wschodu za pomocą fałszywej kampanii e-mailowej i fałszywych stron internetowych.
W 2019 r. działalność Charming Kitten (APT35) rozszerzyła się o nie-Irańczyków w Stanach Zjednoczonych, na Bliskim Wschodzie i we Francji, a także o osoby publiczne spoza kręgów akademickich, do których początkowo dążyli. Zaczęli dołączać tracker do swojej korespondencji e-mail, aby śledzić wiadomości e-mail przekazywane na inne konta, w celu uzyskania danych geolokalizacyjnych.
>>>Aktualizacja 10 maja 2020 r. - APT35 (Charming Kitten) zaangażowany w kampanię hakerską COVID-19
Zestaw publicznie dostępnych archiwów internetowych przejrzanych przez ekspertów ds. cyberbezpieczeństwa ujawnił, że za kwietniowym cyberatakiem na kalifornijską firmę farmaceutyczną Gilead Sciences Inc. zaangażowaną w badania nad COVID-19 stała irańska grupa hakerska, znana między innymi jako Charming Kitten.
W jednym z przypadków, na jakie natknęli się analitycy bezpieczeństwa, hakerzy wykorzystali fałszywą stronę logowania do poczty e-mail, która została specjalnie zaprojektowana do kradzieży haseł od najwyższego kierownictwa Gilead, zaangażowanego w sprawy korporacyjne i prawne. Atak został wykryty na stronie internetowej, która służy do skanowania adresów internetowych pod kątem szkodliwej aktywności, ale badacze nie byli w stanie określić, czy się powiódł.
Jednym z analityków badających atak był Ohad Zaidenberg z izraelskiej firmy zajmującej się cyberbezpieczeństwem ClearSky. Skomentował, że kwietniowy atak na Gilead był próbą zhakowania firmowych kont e-mail za pomocą wiadomości podszywającej się pod zapytanie dziennikarza. Inni analitycy, którzy nie byli upoważnieni do publicznego komentowania, potwierdzili, że w ataku wykorzystano domeny i serwery, które były wcześniej wykorzystywane przez irańską grupę hakerską znaną jako Charming Kitten.
Wykres popularnych grup hakerów APT — źródło: Securitystack.co
Misja dyplomatyczna Iranu przy Organizacji Narodów Zjednoczonych zaprzeczyła jakiemukolwiek udziałowi w takich atakach, a rzecznik Alireza Miriousefi stwierdził, że „rząd irański nie angażuje się w wojnę cybernetyczną”, dodając: „Działania cybernetyczne, w które angażuje się Iran, są czysto defensywne i mają na celu ochronę przed dalszymi atakami na Infrastruktura irańska”.
Gilead przestrzegał polityki firmy w zakresie omawiania kwestii cyberbezpieczeństwa i odmówił komentarza. Firma cieszy się ostatnio dużym zainteresowaniem, ponieważ jest producentem leku przeciwwirusowego remdesivir, który jest obecnie jedynym sposobem na pomoc pacjentom zakażonym COVID-19. Gilead jest również jedną z firm prowadzących badania i rozwój leczenia śmiertelnej choroby, co czyni ją głównym celem działań wywiadowczych.
