APT35
APT35 (Advanced Persistent Threat) je hekerska skupina, za katero se domneva, da izvira iz Irana. Ta hekerska skupina je znana tudi pod več drugimi vzdevki – Newscaster Team, Phosphorus, Charming Kitten in Ajax Security Team. Hekerska skupina APT35 je običajno vključena tako v politično motivirane kampanje kot tudi finančno motivirane. Hekerska skupina APT35 svoja prizadevanja osredotoča na akterje, ki se ukvarjajo z aktivizmom za človekove pravice, različne medijske organizacije in predvsem akademski sektor. Večina kampanj se izvaja v ZDA, Izraelu, Iranu in Združenem kraljestvu.
Kazalo
Priljubljene APT35 akcije
Ena najbolj razvpitih operacij APT35 je tista, ki je bila izvedena proti HBO, ki se je zgodila leta 2017. V njej je APT35 pricurljal preko 1 TB podatkov, ki so sestavljali osebne podatke in oddaje osebja, ki naj bi še uradno predvajali. Druga zloglasna kampanja APT35, ki jih je postavila na zemljevid, je tista, ki je vključevala tudi prebegnika ameriških letalskih sil. Zadevni posameznik je APT35 pomagal pri dostopu do tajnih državnih podatkov. Leta 2018 je skupina APT35 zgradila spletno mesto, ki naj bi posnemalo zakonito izraelsko podjetje za kibernetsko varnost. Edina razlika je bila v tem, da je imelo ponarejeno spletno mesto nekoliko spremenjeno ime domene. Ta kampanja je APT35 pomagala pridobiti podatke za prijavo nekaterih strank podjetja. Zadnja zloglasna kampanja z APT35 je bila izvedena decembra 2018. V tej operaciji je skupina APT35 delovala pod vzdevkom Charming Kitten. Ta operacija je bila usmerjena na različne politične aktiviste, ki so imeli vpliv na gospodarske sankcije, pa tudi na vojaške sankcije, ki so bile takrat uvedene proti Iranu. Skupina APT35 se je predstavljala kot visoko uvrščeni strokovnjaki, ki sodelujejo na istih področjih kot njihovi cilji. Napadalci so uporabili prilagojena e-poštna sporočila z lažnim predstavljanjem, ki so vsebovala lažne priloge, pa tudi lažne profile družbenih medijev.
Lažno predstavljanje z lažnimi e-poštnimi sporočili za intervjuje
Ciljno usmerjene kampanje z lažnim predstavljanjem so del načina delovanja Charming Kitten, pri čemer hekerji uporabljajo lažno e-pošto in socialni inženiring kot metode izvajanja. V eni kampanji iz leta 2019 je skupina Charming Kitten predstavljala nekdanje novinarje Wall Street Journala (WSJ) in se približala njihovim predvidenim žrtvam s scenarijem lažnega intervjuja. Skupino so opazili tudi po različnih scenarijih, kot sta "Intervju CNN" in "Vabilo na spletni seminar Deutsche Welle", ki se običajno nanaša na iranske in mednarodne zadeve.
V enem posebnem primeru so napadalci ustvarili lažno e-pošto v arabščini, pri čemer so uporabili identiteto Farnaza Fassihija, trenutno novinarja New York Timesa, ki je pred tem 17 let delal za The Wall Street Journal. Zanimivo je, da so hekerji predstavili Farnaz Fassihi, da dela za svojega nekdanjega delodajalca, The Wall Street Journal.
E-pošta z lažno zahtevo za intervju - Vir: blog.certfa.com
Prevod e-pošte:
Zdravo *** ***** ******
Moje ime je Farnaz Fasihi. Sem novinar v časopisu Wall Street Journal.
Bližnjevzhodna ekipa WSJ namerava uvesti uspešne nelokalne posameznike v razvitih državah. Vaše dejavnosti na področju raziskav in filozofije znanosti so me pripeljale do tega, da sem vas predstavil kot uspešnega Iranca. Direktor ekipe za Bližnji vzhod nas je prosil, naj pripravimo intervju z vami in z občinstvom delimo nekaj vaših pomembnih dosežkov. Ta intervju bi lahko motiviral mlade naše ljubljene države, da odkrijejo svoje talente in napredujejo k uspehu.
Ni treba posebej poudarjati, da je ta intervju zame osebno velika čast, zato vas pozivam, da sprejmete moje povabilo na razgovor.
Vprašanja je strokovno oblikovala skupina mojih kolegov, nastali intervju pa bo objavljen v rubriki Tedenski intervju na WSJ. Vprašanja in zahteve intervjuja vam bom poslal takoj, ko sprejmete.
*Opomba: Nelokalno se nanaša na ljudi, ki so bili rojeni v drugih državah.
Hvala za vašo prijaznost in pozornost.
Farnaz Fasihi
Vse povezave v e-poštnih sporočilih so bile v skrajšanem formatu URL, ki so ga hekerji uporabljali za usmerjanje žrtev do zakonitih naslovov, hkrati pa so zbirali bistvene informacije o njihovih napravah, kot so operacijski sistem, brskalnik in naslov IP. Te informacije so hekerji potrebovali za pripravo na glavni napad na njihove cilje.
Vzorec lažne strani WSJ, ki gostuje na Google Sites – Vir: blog.certfa.com
Po vzpostavitvi relativnega zaupanja z nameravano tarčo bi jim hekerji poslali edinstveno povezavo, ki naj bi vsebovala vprašanja za intervju. Glede na vzorce, ki jih je testirala skupina za odzivanje v računalniški sili v farsiju (CERTFA), napadalci uporabljajo relativno novo metodo, ki je v zadnjem letu pridobila veliko popularnost pri lažnih predstavljalcih, saj gosti strani na Googlovih spletnih mestih.
Ko žrtev klikne gumb »Prenesi« na strani Googlovega spletnega mesta, bo preusmerjena na drugo lažno stran, ki bo poskušala pridobiti poverilnice za prijavo za njihov e-poštni naslov in njihovo dvofaktorsko kodo za preverjanje pristnosti z uporabo kompletov za lažno predstavljanje, kot je Modlishka.
Zlonamerna programska oprema DownPaper APT35
Orodje DownPaper je backdoor trojanec, ki se večinoma uporablja kot koristna obremenitev prve stopnje in ima zmožnosti za:
- Vzpostavite povezavo z napadalčevim strežnikom C&C (Command & Control) in prejemajte ukaze in škodljive obremenitve, ki se izvajajo na infiltriranem gostitelju.
- Pridobite obstojnost z poseganjem v register Windows.
- Zberite informacije o ogroženem sistemu, kot so podatki o strojni in programski opremi.
- Izvedite ukaza CMD in PowerShell.
Hekerska skupina APT35 je zelo vztrajna skupina posameznikov in je malo verjetno, da nameravajo kmalu ustaviti svoje dejavnosti. Glede na to, da se politična klima okoli Irana že nekaj časa segreva, je verjetno, da bomo o kampanjah skupine APT35 poslušali tudi v prihodnje.
Posodobitev 10. maja 2020 – APT35 je vpleten v kampanjo vdiranja COVID-19
Nabor javno dostopnih spletnih arhivov, ki so jih pregledali strokovnjaki za kibernetsko varnost, je razkril, da je iranska hekerska skupina, med drugimi imeni, znana kot Charming Kitten, za aprilskim kibernetskim napadom na kalifornijsko farmacevtsko podjetje Gilead Sciences Inc, vključeno v raziskave COVID-19.
V enem od primerov, na katere so naleteli varnostni raziskovalci, so hekerji uporabili lažno e-poštno prijavno stran, ki je bila posebej zasnovana za krajo gesel vrhunskemu izvršnemu direktorju Gileada, ki je vpleten v korporativne in pravne zadeve. Napad so našli na spletnem mestu, ki se uporablja za pregledovanje spletnih naslovov za zlonamerno dejavnost, vendar raziskovalci niso mogli ugotoviti, ali je bil uspešen.
Trending APT Hacker Groups Chart – Vir: Securitystack.co
Eden od analitikov, ki je raziskoval napad, je bil Ohad Zaidenberg iz izraelskega podjetja za kibernetsko varnost ClearSky. Poudaril je, da je bil aprilski napad na Gilead poskus ogrožanja e-poštnih računov podjetij s sporočilom, ki je predstavljalo novinarsko poizvedbo. Drugi analitiki, ki niso bili pooblaščeni za javno komentiranje, so od takrat potrdili, da so napad uporabili domene in strežnike, ki jih je prej uporabljala iranska hekerska skupina, znana kot Charming Kitten.
Iransko diplomatsko predstavništvo pri Združenih narodih je zanikalo kakršno koli vpletenost v takšne napade , tiskovni predstavnik Alireza Miryousfi pa je izjavil, da "iranska vlada ne sodeluje v kibernetskem boju," in dodal, "kibernetske dejavnosti, s katerimi se Iran ukvarja, so izključno obrambne in za zaščito pred nadaljnjimi napadi na Iranska infrastruktura."
Ciljne države v nedavnih iranskih kibernetskih kampanjah – Vir: Stratfor.com
Gilead je sledil politiki podjetja glede razprav o zadevah kibernetske varnosti in ni želel komentirati. Podjetje je v zadnjem času deležno velike pozornosti, saj je proizvajalec protivirusnega zdravila remdesivir, ki je trenutno edino zdravilo, ki dokazano pomaga bolnikom, okuženim s COVID-19. Gilead je tudi eno od podjetij, ki vodi raziskave in razvoj zdravljenja za smrtonosno bolezen, zaradi česar je glavna tarča prizadevanj za zbiranje obveščevalnih podatkov.
