Charming Kitten APT
Charming Kitten, znan tudi kot APT35 , je napredna trajna grožnja, hekerska skupina z domnevnimi iranskimi povezavami. Skupina je znana tudi pod drugimi imeni: Phosphorus, Ajax Security Team in Newscaster Team. Opazili so, da ima Charming Kitten politično motivirane kampanje, pa tudi tiste, ki so jih motivirali finančni razlogi. Ciljajo na aktiviste za človekove pravice, medijske organizacije in akademski sektor. Večina njihovih kampanj je spodbujala napade na Združeno kraljestvo, ZDA, Iran in Izrael.
Kazalo
Kampanje očarljivih mačk
Ena od obsežnejših operacij, ki jih je hekerska skupina izvedla, je bila izvedena proti HBO leta 2017. Kibernetski kriminalci so pricurljali približno terabajt podatkov z osebnimi podatki o osebju podjetja, prihajajočih oddajah in še več. Drugi napadi, ki jih je uprizoril Charming Kitten, alias APT35, so vključevali dostop do podrobnih podatkov prek prebežnika ameriških letalskih sil in ponarejanje spletne strani izraelskega podjetja za kibernetsko varnost, da bi ukradli podatke za prijavo. Napad, ki jih je povezal z Iranom, je bila operacija iz leta 2018, namenjena političnim aktivistom, ki je vplivala na sankcije proti državi. Operativci Charming Kitten so uporabljali e-poštna sporočila z lažnim predstavljanjem z zlonamernimi prilogami in družbeni inženiring, da bi se predstavljali kot visoki strokovnjaki.
Iranski kot za očarljivega mucka
Ciljno usmerjene kampanje z lažnim predstavljanjem so bile del načina poslovanja APT35 (Charming Kitten), kot je bilo razvidno iz njihove kampanje iz leta 2019, katere cilj je bil lažno predstavljati nekdanje novinarje Wall Street Journala. Ta pristop so uporabili, da so svoje kremplje zarili v svoje žrtve z obljubo intervjujev ali povabil na spletne seminarje, pogosto na teme iranskih in mednarodnih zadev v tistem času.
V enem od teh primerov so napadalci sestavili e-pošto v arabščini pod lažno identiteto, ki posnema resničnega Farnaza Fassihija, nekdanjega uslužbenca Wall Street Journala, ki je 17 let delal za publikacijo. Operativci Charming Kitten so predstavili to lažno osebo, kot da še vedno dela za WSJ.
Lažna zahteva za intervju. Vir: blog.certfa.com
Vsebina elektronske pošte je bila naslednja:
Zdravo *** ***** ******
Moje ime je Farnaz Fasihi. Sem novinar v časopisu Wall Street Journal.
Bližnjevzhodna ekipa WSJ namerava uvesti uspešne nelokalne posameznike v razvitih državah. Vaše dejavnosti na področju raziskav in filozofije znanosti so me pripeljale do tega, da sem vas predstavil kot uspešnega Iranca. Direktor ekipe za Bližnji vzhod nas je prosil, da pripravimo intervju z vami in z občinstvom delimo nekaj vaših pomembnih dosežkov. Ta intervju bi lahko motiviral mlade naše ljubljene države, da odkrijejo svoje talente in napredujejo k uspehu.
Ni treba posebej poudarjati, da je ta intervju zame osebno velika čast, zato vas pozivam, da sprejmete moje povabilo na razgovor.
Vprašanja je strokovno oblikovala skupina mojih kolegov, nastali intervju pa bo objavljen v rubriki Tedenski intervju na WSJ. Vprašanja in zahteve intervjuja vam bom poslal takoj, ko sprejmete.
*Opomba: Nelokalno se nanaša na ljudi, ki so bili rojeni v drugih državah.
Hvala za vašo prijaznost in pozornost.
Farnaz Fasihi
Povezave v e-poštnih sporočilih so bile v kratkem formatu URL, ki so ga akterji groženj pogosto uporabljali za prikrivanje legitimnih povezav za njimi, katerih cilj je bil zbiranje podatkov o naslovih IP, različicah brskalnika in operacijskega sistema in še več. To je pomagalo utreti pot do nadaljnjih napadov z gradnjo zaupanja s ponavljajočo komunikacijo in pripravo na trenutek za ukrepanje.
Ko se zaupanje sčasoma vzpostavi, hekerji pošljejo povezavo, ki vsebuje domnevna vprašanja za intervju. Vzorci ekipe za odzivanje na računalniške nujne primere v jeziku Farsi (CERTFA) so pokazali, da so napadalci uporabljali metodo, ki so jo v zadnjih letih uporabljali lažni predstavljalci, s stranmi, ki jih gosti Google Sites.
Ko žrtev odpre povezavo, je lahko preusmerjena na drugo lažno stran, ki poskuša s pomočjo kompleta za lažno predstavljanje zabeležiti njihove poverilnice za prijavo in dvofaktorsko kodo za preverjanje pristnosti.
Povzetek operacij očarljivih mačk
Leta 2015 so raziskovalci odkrili prvi val napadov z lažnim predstavljanjem, kasnejše vohunske operacije v velikem obsegu pa so od leta 2016 do 2017 odkrili raziskovalci pri ClearSky. Operaterji Charming Kitten so uporabili lažno predstavljanje, lažno predstavljanje in napade na zalivanje.
Leta 2018 so kibernetski kriminalci Charming Kitten napadli ClearSky z goljufivim spletnim mestom, ki je predstavljalo portal varnostnega podjetja. Istega leta je bilo ugotovljenih več napadov na bližnjevzhodne cilje z lažno e-pošto in lažnimi spletnimi mesti.
Leta 2019 so se dejavnosti Charming Kitten (APT35) razširile s ciljanjem na Ne-Irance v ZDA, na Bližnjem vzhodu in v Franciji, s ciljno usmerjenostjo na javne osebnosti izven akademskih navdušencev, ki so si jih sprva prizadevali. Svojemu e-poštnemu dopisovanju so začeli pripenjati sledilnik za spremljanje e-pošte, posredovane drugim računom, z namenom pridobiti podatke o geolokaciji.
>>>Posodobitev 10. maja 2020 – APT35 (očarljiva mucka) je vključena v kampanjo vdiranja COVID-19
Nabor javno dostopnih spletnih arhivov, ki so jih pregledali strokovnjaki za kibernetsko varnost, je razkril, da je iranska hekerska skupina, med drugimi imeni, znana kot Charming Kitten, za aprilskim kibernetskim napadom na kalifornijsko farmacevtsko podjetje Gilead Sciences Inc, vključeno v raziskave COVID-19.
V enem od primerov, na katere so naleteli varnostni raziskovalci, so hekerji uporabili lažno e-poštno prijavno stran, ki je bila posebej zasnovana za krajo gesel vrhunskemu izvršnemu direktorju Gileada, ki je vpleten v korporativne in pravne zadeve. Napad so našli na spletnem mestu, ki se uporablja za pregledovanje spletnih naslovov za zlonamerno dejavnost, vendar raziskovalci niso mogli ugotoviti, ali je bil uspešen.
Eden od analitikov, ki je raziskoval napad, je bil Ohad Zaidenberg iz izraelskega podjetja za kibernetsko varnost ClearSky. Poudaril je, da je bil aprilski napad na Gilead poskus ogrožanja e-poštnih računov podjetij s sporočilom, ki je predstavljalo novinarsko poizvedbo. Drugi analitiki, ki niso bili pooblaščeni za javno komentiranje, so od takrat potrdili, da so napad uporabili domene in strežnike, ki jih je prej uporabljala iranska hekerska skupina, znana kot Charming Kitten.
Trending APT Hacker Groups Chart – Vir: Securitystack.co
Iransko diplomatsko predstavništvo pri Združenih narodih je zanikalo kakršno koli vpletenost v tovrstne napade, tiskovni predstavnik Alireza Miryousfi pa je izjavil, da "iranska vlada ne sodeluje v kibernetskem vojskovanju," in dodal, "kibernetske dejavnosti, s katerimi se Iran ukvarja, so izključno obrambne in za zaščito pred nadaljnjimi napadi na Iranska infrastruktura."
Gilead je sledil politiki podjetja glede razprav o zadevah kibernetske varnosti in ni želel komentirati. Podjetje je v zadnjem času deležno velike pozornosti, saj je proizvajalec protivirusnega zdravila remdesivir, ki je trenutno edino zdravilo, ki dokazano pomaga bolnikom, okuženim s COVID-19. Gilead je tudi eno od podjetij, ki vodi raziskave in razvoj zdravljenja za smrtonosno bolezen, zaradi česar je glavna tarča prizadevanj za zbiranje obveščevalnih podatkov.
