APT35

APT35 Popis

apt35 útoky hackerskej skupiny APT35 (Advanced Persistent Threat) je hackerská skupina, o ktorej sa predpokladá, že pochádza z Iránu. Táto hackerská skupina je známa aj pod niekoľkými ďalšími prezývkami – Newscaster Team, Phosphorus, Charming Kitten a Ajax Security Team. Hackerská skupina APT35 je zvyčajne zapojená do politicky aj finančne motivovaných kampaní. Hackerská skupina APT35 má tendenciu koncentrovať svoje úsilie proti aktérom zapojeným do ľudskoprávneho aktivizmu, rôznym mediálnym organizáciám a najmä akademickému sektoru. Väčšina kampaní sa uskutočňuje v Spojených štátoch, Izraeli, Iráne a Spojenom kráľovstve.

Populárne kampane APT35

Jednou z najznámejších operácií APT35 je operácia vykonaná proti HBO, ktorá sa uskutočnila v roku 2017. Pri nej uniklo z APT35 viac ako 1 TB údajov, ktoré pozostávali z osobných údajov zamestnancov a relácií, ktoré sa ešte len oficiálne odvysielali. Ďalšia neslávne známa kampaň APT35, ktorá ich dostala na mapu, je tá, ktorá zahŕňala aj odpadlíka amerického letectva. Dotknutá osoba pomohla APT35 získať prístup k tajným vládnym údajom. V roku 2018 skupina APT35 vytvorila webovú stránku, ktorá mala napodobňovať legitímnu izraelskú spoločnosť zaoberajúcu sa kybernetickou bezpečnosťou. Jediný rozdiel bol v tom, že falošný web mal mierne pozmenený názov domény. Táto kampaň pomohla APT35 získať prihlasovacie údaje niektorých klientov spoločnosti. Posledná neslávne známa kampaň zahŕňajúca APT35 sa uskutočnila v decembri 2018. V tejto operácii skupina APT35 fungovala pod aliasom Charming Kitten. Táto operácia bola zameraná na rôznych politických aktivistov, ktorí mali vplyv na ekonomické sankcie, ako aj vojenské sankcie uvalené na Irán v tom čase. Skupina APT35 vystupovala ako vysokopostavení profesionáli zapojení do rovnakých oblastí ako ich ciele. Útočníci použili prispôsobené phishingové e-maily s falošnými prílohami, ako aj falošné profily sociálnych médií.

Phishing s falošnými e-mailmi s rozhovormi

Cielené phishingové kampane sú súčasťou modus operandi Charming Kitten, pričom hackeri používajú falošné e-maily a sociálne inžinierstvo ako metódy vykonávania. V jednej kampani v roku 2019 sa skupina Charming Kitten vydávala za bývalých novinárov z Wall Street Journal (WSJ) a oslovila ich zamýšľané obete pomocou scenára falošného rozhovoru. Skupina bola tiež zaznamenaná pomocou rôznych scenárov, ako napríklad ''CNN Interview'' a ''Pozvánka na webinár Deutsche Welle'', zvyčajne na témy iránskych a medzinárodných záležitostí.

V jednom konkrétnom prípade útočníci vytvorili falošný e-mail v arabčine, pričom použili identitu Farnaza Fassihiho, v súčasnosti novinára New York Times, ktorý predtým 17 rokov pracoval pre The Wall Street Journal. Je zaujímavé, že hackeri predstavili Farnaz Fassihi ako pracujúcu pre svojho bývalého zamestnávateľa, The Wall Street Journal.


Falošný e-mail so žiadosťou o rozhovor – Zdroj: blog.certfa.com

Preklad e-mailu:

Ahoj *** ***** ******
Moje meno je Farnaz Fasihi. Som novinár v novinách Wall Street Journal.
Blízkovýchodný tím WSJ má v úmysle predstaviť úspešných nemiestnych jednotlivcov vo vyspelých krajinách. Vaše aktivity v oblasti výskumu a filozofie vedy ma priviedli k tomu, aby som vás predstavil ako úspešného Iránca. Riaditeľ tímu pre Blízky východ nás požiadal, aby sme s vami zorganizovali rozhovor a podelili sa o niektoré z vašich dôležitých úspechov s našim publikom. Tento rozhovor by mohol motivovať mládež našej milovanej krajiny, aby objavila svoj talent a posunula sa smerom k úspechu.
Netreba dodávať, že tento rozhovor je pre mňa osobne veľkou cťou a žiadam vás, aby ste prijali moje pozvanie na rozhovor.
Otázky sú navrhnuté profesionálne skupinou mojich kolegov a výsledný rozhovor bude zverejnený v sekcii Weekly Interview na WSJ. Otázky a požiadavky na pohovor vám pošlem hneď, ako prijmete.
*Poznámka: Nemiestne označuje ľudí, ktorí sa narodili v iných krajinách.
Ďakujem za priazeň a pozornosť.
Farnaz Fasihi

Všetky odkazy obsiahnuté v e-mailoch boli v skrátenom formáte URL, ktorý hackeri používali na nasmerovanie svojej obete na legitímne adresy a zároveň zhromažďovali základné informácie o svojich zariadeniach, ako je operačný systém, prehliadač a IP adresa. Tieto informácie boli potrebné od hackerov v rámci prípravy na hlavný útok na ich ciele.


Ukážka falošnej stránky WSJ hosťovanej na stránkach Google – zdroj: blog.certfa.com

Po vytvorení relatívnej dôvery so zamýšľaným cieľom im hackeri pošlú jedinečný odkaz, ktorý údajne obsahuje otázky na pohovor. Podľa vzoriek testovaných tímom Computer Emergency Response Team v perzštine (CERTFA) útočníci používajú relatívne novú metódu, ktorá si za posledný rok získala veľkú obľubu medzi phishermi, a to hosťovaním stránok na stránkach Google.

Keď obeť klikne na tlačidlo „Stiahnuť“ na stránke lokality Google, bude presmerovaná na inú falošnú stránku, ktorá sa pokúsi získať prihlasovacie údaje pre jej e-mailovú adresu a jej dvojfaktorový overovací kód pomocou súprav na neoprávnené získavanie údajov, ako je Modlishka.

Malware DownPaper od APT35

Nástroj DownPaper je trójsky kôň typu backdoor, ktorý sa väčšinou používa ako prvá fáza užitočného zaťaženia a má schopnosti:

  • Vytvorte spojenie s útočníkovým serverom C&C (Command & Control) a získajte príkazy a škodlivé užitočné zaťaženia, ktoré sa majú vykonať na infiltrovanom hostiteľovi.
  • Získajte vytrvalosť zásahom do databázy Registry systému Windows.
  • Zhromaždite informácie o napadnutom systéme, ako sú hardvérové a softvérové údaje.
  • Vykonajte príkazy CMD a PowerShell.

Hackerská skupina APT35 je veľmi vytrvalá skupina jednotlivcov a je nepravdepodobné, že by v dohľadnej dobe plánovali zastaviť svoje aktivity. Vzhľadom na to, že politická klíma okolo Iránu sa už nejaký čas ohrieva, je pravdepodobné, že o kampaniach skupiny APT35 budeme v budúcnosti stále počuť.

Aktualizácia 10. mája 2020 – APT35 zapojený do kampane proti hackingu COVID-19

Súbor verejne dostupných webových archívov, ktoré preskúmali experti na kybernetickú bezpečnosť, odhalil, že za aprílovým kybernetickým útokom proti farmaceutickej spoločnosti Gilead Sciences Inc v Kalifornii, ktorá sa podieľa na výskume COVID-19, stojí iránska hackerská skupina známa okrem iného aj ako Charming Kitten.

V jednom z prípadov, s ktorými sa bezpečnostní výskumníci stretli, hackeri použili falošnú e-mailovú prihlasovaciu stránku, ktorá bola špeciálne navrhnutá tak, aby ukradla heslá od najvyššieho predstaviteľa Gileadu, ktorý sa podieľal na podnikových a právnych záležitostiach. Útok bol nájdený na webovej stránke, ktorá sa používa na skenovanie webových adries kvôli škodlivej aktivite, no vedci nedokázali určiť, či bol úspešný.

trendy apt hackerských skupín
Trendy APT Hacker Groups Chart – Zdroj: Securitystack.co

Jedným z analytikov, ktorí útok skúmali, bol Ohad Zaidenberg z izraelskej firmy ClearSky, ktorá sa zaoberá kybernetickou bezpečnosťou. Poznamenal, že aprílový útok na Gilead bol pokusom kompromitovať firemné e-mailové účty správou, ktorá sa vydávala za novinárske vyšetrovanie. Ďalší analytici, ktorí nemali oprávnenie verejne komentovať, odvtedy potvrdili, že pri útoku boli použité domény a servery, ktoré predtým používala iránska hackerská skupina známa ako Charming Kitten.

Iránska diplomatická misia pri OSN poprela akúkoľvek účasť na takýchto útokoch , pričom hovorca Alireza Miryousefi uviedol, že „iránska vláda sa nezapája do kybernetickej vojny“ a dodal: „Kybernetické aktivity, do ktorých sa Irán zapája, sú čisto obranné a slúžia na ochranu pred ďalšími útokmi na Iránska infraštruktúra."

cielené krajiny útočníkov Iránu
Krajiny zacielené v nedávnych iránskych kybernetických kampaniach – Zdroj: Stratfor.com

Gilead dodržiava zásady spoločnosti týkajúce sa diskusií o záležitostiach kybernetickej bezpečnosti a odmietol sa k tomu vyjadriť. Spoločnosti sa v poslednej dobe venuje veľká pozornosť, keďže je výrobcom antivírusového lieku remdesivir, ktorý je v súčasnosti jedinou liečbou, ktorá dokázala pomôcť pacientom nakazeným COVID-19. Gilead je tiež jednou zo spoločností, ktoré vedú výskum a vývoj liečby smrteľnej choroby, vďaka čomu je hlavným cieľom úsilia o zhromažďovanie spravodajských informácií.