Očarujúce mačiatko APT
Charming Kitten, tiež známy ako APT35 , je pokročilá pretrvávajúca hrozba, hackerská skupina s podozrením na iránske väzby. Skupina je známa aj pod inými názvami: Phosphorus, Ajax Security Team a Newscaster Team. Bolo pozorované, že Charming Kitten má politicky motivované kampane, ale aj kampane motivované finančnými dôvodmi. Zameriavajú sa na aktivistov za ľudské práva, mediálne organizácie a akademický sektor. Väčšina ich kampaní presadzovala útoky na Spojené kráľovstvo, Spojené štáty, Irán a Izrael.
Obsah
Kampane očarujúce mačiatka
Jedna z najrozsiahlejších operácií, ktoré podnikla hackerská skupina, bola vykonaná proti HBO v roku 2017. Kyberzločinci unikli približne terabajt údajov s osobnými informáciami o zamestnancoch spoločnosti, pripravovaných predstaveniach a ďalších. Ďalšie útoky zinscenované Charming Kitten, alias APT35, zahŕňali prístup k podrobným údajom prostredníctvom odpadlíka amerického letectva a sfalšovanie webovej stránky izraelskej spoločnosti zaoberajúcej sa kybernetickou bezpečnosťou s cieľom ukradnúť prihlasovacie údaje. Útok, ktorý ich pripútal k Iránu, bola operácia z roku 2018 zameraná na politických aktivistov, ktorá ovplyvnila sankcie namierené proti krajine. Pracovníci spoločnosti Charming Kitten používali phishingové e-maily so škodlivými prílohami a sociálne inžinierstvo, aby sa vydávali za vysokopostavených profesionálov.
Iránsky uhol pre očarujúce mačiatko
Cielené phishingové kampane boli súčasťou spôsobu podnikania APT35 (Charming Kitten), ako to bolo možné vidieť pri ich kampani z roku 2019, ktorej cieľom bolo vydávať sa za bývalých novinárov z Wall Street Journal. Použili tento prístup na zapichnutie pazúrov do svojich obetí s prísľubom rozhovorov alebo pozvánok na webináre, často na témy vtedajších iránskych a medzinárodných záležitostí.
V jednom z týchto prípadov útočníci napísali e-mail v arabčine pod falošnú identitu napodobňujúcu skutočného Farnaza Fassihiho, bývalého zamestnanca Wall Street Journal, ktorý pre publikáciu pracoval 17 rokov. Pracovníci Charming Kitten prezentovali túto falošnú osobu ako stále pracujúcu pre WSJ.
Falošná žiadosť o rozhovor. Zdroj: blog.certfa.com
Obsah emailu bol nasledovný:
Ahoj *** ***** ******
Moje meno je Farnaz Fasihi. Som novinár v novinách Wall Street Journal.
Blízkovýchodný tím WSJ má v úmysle predstaviť úspešných nemiestnych jednotlivcov vo vyspelých krajinách. Vaše aktivity v oblasti výskumu a filozofie vedy ma priviedli k tomu, aby som vás predstavil ako úspešného Iránca. Riaditeľ tímu pre Blízky východ nás požiadal, aby sme s vami zorganizovali rozhovor a podelili sa o niektoré z vašich dôležitých úspechov s našim publikom. Tento rozhovor by mohol motivovať mládež našej milovanej krajiny, aby objavila svoj talent a posunula sa smerom k úspechu.
Netreba dodávať, že tento rozhovor je pre mňa osobne veľkou cťou a žiadam vás, aby ste prijali moje pozvanie na rozhovor.
Otázky sú navrhnuté profesionálne skupinou mojich kolegov a výsledný rozhovor bude zverejnený v sekcii Weekly Interview na WSJ. Otázky a požiadavky na pohovor vám pošlem hneď, ako prijmete.
*Poznámka: Nemiestne označuje ľudí, ktorí sa narodili v iných krajinách.
Ďakujem za priazeň a pozornosť.
Farnaz Fasihi
Odkazy v e-mailoch boli vo formáte krátkej adresy URL, ktorú často používali aktéri hrozieb, aby za nimi zamaskovali legitímne odkazy s cieľom zhromažďovať údaje o IP adresách, verziách prehliadačov a OS a ďalších. To pomohlo vydláždiť cestu k ďalším útokom budovaním dôvery opakovanou komunikáciou a prípravou na moment konať.
Keď sa časom vytvorí dôvera, hackeri pošlú odkaz, ktorý obsahuje údajné otázky na pohovor. Vzorky tímu Computer Emergency Response Team v perzštine (CERTFA) ukázali, že útočníci používali metódu, ktorú v posledných rokoch používali phisheri, so stránkami hostenými v službe Google Sites.
Keď obeť otvorí odkaz, môže byť presmerovaná na inú falošnú stránku, ktorá sa pokúsi zaznamenať ich prihlasovacie údaje a dvojfaktorový overovací kód pomocou súpravy na phishing.
Zhrnutie operácií s očarujúcim mačiatkom
V roku 2015 výskumníci objavili prvú vlnu phishingových útokov, pričom neskoršie špionážne operácie v masívnom meradle objavili výskumníci z ClearSky v rokoch 2016 až 2017. Operátori Charming Kitten používali útoky na odcudzenie identity, spear-phishing a útoky na zalievanie.
V roku 2018 kyberzločinci z Charming Kitten prenasledovali ClearSky s podvodnou webovou stránkou, ktorá sa vydávala za portál bezpečnostnej spoločnosti. V tom roku bolo identifikovaných viac útokov na ciele na Blízkom východe pomocou falošnej e-mailovej kampane a falošných webových stránok.
V roku 2019 sa aktivity Charming Kitten (APT35) rozšírili o zacielenie na neiránskych občanov v USA, na Strednom východe a vo Francúzsku so zameraním na verejné osobnosti mimo akademických diabolov, na ktorých sa pôvodne chystali. K svojej e-mailovej korešpondencii začali pripájať sledovač, aby mohli sledovať e-maily preposlané na iné účty s úmyslom získať geolokačné údaje.
>>>Aktualizácia 10. mája 2020 – APT35 (Charming Kitten) zapojené do kampane proti hackingu COVID-19
Súbor verejne dostupných webových archívov, ktoré preskúmali experti na kybernetickú bezpečnosť, odhalil, že za aprílovým kybernetickým útokom proti farmaceutickej spoločnosti Gilead Sciences Inc v Kalifornii, ktorá sa podieľa na výskume COVID-19, stojí iránska hackerská skupina známa okrem iného aj ako Charming Kitten.
V jednom z prípadov, s ktorými sa bezpečnostní výskumníci stretli, hackeri použili falošnú e-mailovú prihlasovaciu stránku, ktorá bola špeciálne navrhnutá tak, aby ukradla heslá od najvyššieho predstaviteľa Gileadu, ktorý sa podieľal na podnikových a právnych záležitostiach. Útok bol nájdený na webovej stránke, ktorá sa používa na skenovanie webových adries kvôli škodlivej aktivite, no vedci nedokázali určiť, či bol úspešný.
Jedným z analytikov, ktorí útok skúmali, bol Ohad Zaidenberg z izraelskej firmy ClearSky, ktorá sa zaoberá kybernetickou bezpečnosťou. Poznamenal, že aprílový útok na Gilead bol pokusom kompromitovať firemné e-mailové účty správou, ktorá sa vydávala za novinárske vyšetrovanie. Ďalší analytici, ktorí nemali oprávnenie verejne komentovať, odvtedy potvrdili, že pri útoku boli použité domény a servery, ktoré predtým používala iránska hackerská skupina známa ako Charming Kitten.
Trendy APT Hacker Groups Chart – Zdroj: Securitystack.co
Iránska diplomatická misia pri OSN poprela akúkoľvek účasť na takýchto útokoch, pričom hovorca Alireza Miryousefi uviedol, že „iránska vláda sa nezapája do kybernetickej vojny,“ dodal „Kybernetické aktivity, do ktorých sa Irán zapája, sú čisto obranné a slúžia na ochranu pred ďalšími útokmi na Iránska infraštruktúra."
Gilead dodržiava zásady spoločnosti týkajúce sa diskusií o záležitostiach kybernetickej bezpečnosti a odmietol sa k tomu vyjadriť. Spoločnosti sa v poslednej dobe venuje veľká pozornosť, keďže je výrobcom antivírusového lieku remdesivir, ktorý je v súčasnosti jedinou liečbou, ktorá dokáže pomôcť pacientom infikovaným COVID-19. Gilead je tiež jednou zo spoločností, ktoré vedú výskum a vývoj liečby smrteľnej choroby, vďaka čomu je hlavným cieľom úsilia o zhromažďovanie spravodajských informácií.
