APT35

APT35 Përshkrimi

Sulmet e grupit të hakerëve apt35 APT35 (Kërcënimi i Përparuar i Përparuar) është një grup hakerimi që besohet se e ka origjinën nga Irani. Ky grup hakerimi njihet edhe me disa pseudonime të tjera - Ekipi i Newscaster, Fosfori, Charming Kitten dhe Ajax Security Team. Grupi i hakerëve APT35 zakonisht përfshihet si në fushata të motivuara politikisht, ashtu edhe në ato të motivuara financiarisht. Grupi i hakerëve APT35 tenton të përqendrojë përpjekjet e tyre kundër aktorëve të përfshirë në aktivizmin e të drejtave të njeriut, organizatave të ndryshme mediatike dhe kryesisht sektorit akademik. Shumica e fushatave kryhen në Shtetet e Bashkuara, Izrael, Iran dhe Mbretërinë e Bashkuar.

Fushatat e njohura APT35

Një nga operacionet më famëkeqe të APT35 është ai i kryer kundër HBO-së që u zhvillua në vitin 2017. Në të, APT35 zbuloi mbi 1 TB të dhëna, të cilat përbëheshin nga detaje personale dhe emisione të personelit, të cilat ende nuk do të transmetoheshin zyrtarisht. Një tjetër fushatë famëkeqe APT35 që i vendosi ato në hartë është ajo që përfshiu gjithashtu një dezertor të Forcave Ajrore të SHBA. Individi në fjalë ndihmoi APT35 në marrjen e aksesit në të dhënat e klasifikuara të qeverisë. Në vitin 2018, grupi APT35 ndërtoi një faqe interneti që kishte për qëllim të imitonte një kompani legjitime izraelite të sigurisë kibernetike. Dallimi i vetëm ishte se uebfaqja e rreme kishte një emër domaini pak të ndryshuar. Kjo fushatë ndihmoi APT35 të merrte detajet e hyrjes së disa prej klientëve të kompanisë. Fushata e fundit famëkeqe që përfshin APT35 u krye në dhjetor 2018. Në këtë operacion, grupi APT35 operonte nën pseudonimin Charming Kitten. Ky operacion kishte në shënjestër aktivistë të ndryshëm politikë që kishin ndikim në sanksionet ekonomike, si dhe sanksionet ushtarake të vendosura ndaj Iranit në atë kohë. Grupi APT35 u paraqit si profesionistë të rangut të lartë të përfshirë në të njëjtat fusha me objektivat e tyre. Sulmuesit përdorën emaile të përshtatura për phishing që mbanin bashkëngjitje të rreme, si dhe profile false të mediave sociale.

Phishing me email intervistash fals

Fushatat e synuara të phishing janë pjesë e modus operandi të Charming Kitten, me hakerat që përdorin email të rremë dhe inxhinieri sociale si metoda ekzekutimi. Në një fushatë të vitit 2019, grupi Charming Kitten imitoi ish-gazetarët e Wall Street Journal (WSJ) dhe iu afrua viktimave të tyre të synuara me një skenar të rremë interviste. Grupi është parë gjithashtu duke përdorur skenarë të ndryshëm, si "Intervistë në CNN" dhe "Ftesë në një Webinar të Deutsche Welle", zakonisht rreth temave të çështjeve iraniane dhe ndërkombëtare.

Në një rast të veçantë, sulmuesit krijuan një email fals në arabisht, duke përdorur identitetin e Farnaz Fassihi, aktualisht një gazetare e New York Times, e cila kishte punuar më parë për The Wall Street Journal për 17 vjet. Është mjaft interesante që hakerët e paraqitën Farnaz Fassihi-n si duke punuar për ish-punëdhënësin e saj, The Wall Street Journal.


Email i rremë i kërkesës për intervistë - Burimi: blog.certfa.com

Përkthimi me email:

Përshëndetje *** ***** ******
Unë quhem Farnaz Fasihi. Unë jam gazetar në gazetën Wall Street Journal.
Ekipi i Lindjes së Mesme të WSJ-së synon të prezantojë individë të suksesshëm jo vendas në vendet e zhvilluara. Aktivitetet tuaja në fushën e kërkimit dhe filozofisë së shkencës më shtynë t'ju prezantoj si një iranian i suksesshëm. Drejtori i ekipit të Lindjes së Mesme na kërkoi të organizojmë një intervistë me ju dhe të ndajmë disa nga arritjet tuaja të rëndësishme me audiencën tonë. Kjo intervistë mund të motivojë të rinjtë e vendit tonë të dashur për të zbuluar talentet e tyre dhe për të ecur drejt suksesit.
Eshtë e panevojshme të thuhet se kjo intervistë është një nder i madh për mua personalisht dhe ju bëj thirrje që ta pranoni ftesën time për intervistë.
Pyetjet janë hartuar në mënyrë profesionale nga një grup kolegësh të mi dhe intervista që do të rezultojë do të publikohet në seksionin Intervistë javore të WSJ. Pyetjet dhe kërkesat e intervistës do t'ju dërgoj sapo të pranoni.
*Shënimi: Jo-lokale u referohet njerëzve që kanë lindur në vende të tjera.
Faleminderit për mirësinë dhe vëmendjen tuaj.
Farnaz Fasihi

Të gjitha lidhjet e përfshira në email ishin në formatin e shkurtuar të URL-së, i cili përdorej nga hakerët për të drejtuar viktimën e tyre drejt adresave të ligjshme, duke mbledhur informacione thelbësore për pajisjet e tyre, si sistemi operativ, shfletuesi dhe adresa IP. Ky informacion ishte i nevojshëm nga hakerët në përgatitje për sulmin kryesor ndaj objektivave të tyre.


Shembull i faqes së rreme WSJ të vendosur në Faqet e Google - Burimi: blog.certfa.com

Pas vendosjes së besimit relativ me objektivin e synuar, hakerët do t'u dërgonin atyre një lidhje unike, që supozohet se përmban pyetjet e intervistës. Sipas mostrave të testuara nga Ekipi i Reagimit të Emergjencave Kompjuterike në Farsi (CERTFA), sulmuesit po përdorin një metodë relativisht të re që ka fituar shumë popullaritet me phishers gjatë vitit të kaluar, duke pritur faqe në Google Sites.

Pasi viktima të klikon butonin ''Shkarko'' në faqen e sajtit Google, ajo do të ridrejtohet në një faqe tjetër të rreme që do të përpiqet të mbledhë kredencialet e hyrjes për adresën e saj të emailit dhe kodin e tyre të vërtetimit me dy faktorë, duke përdorur komplete phishing si Modlishka.

Malware DownPaper e APT35

Mjeti DownPaper është një Trojan me dyer të pasme, i cili përdoret kryesisht si ngarkesë e fazës së parë dhe ka aftësitë për të:

  • Vendosni një lidhje me serverin C&C (Command & Control) të sulmuesit dhe merrni komanda dhe ngarkesa të dëmshme, të cilat duhet të ekzekutohen në hostin e infiltruar.
  • Fitoni këmbëngulje duke ndërhyrë në Regjistrin e Windows.
  • Mblidhni informacione rreth sistemit të komprometuar, të tilla si të dhënat e harduerit dhe softuerit.
  • Ekzekutoni komandat CMD dhe PowerShell.

Grupi i hakerëve APT35 është një grup shumë këmbëngulës individësh dhe nuk ka gjasa që ata të planifikojnë të ndalojnë aktivitetet e tyre së shpejti. Duke pasur parasysh se klima politike rreth Iranit po nxehet për një kohë, ka të ngjarë që ne të vazhdojmë të dëgjojmë për fushatat e grupit APT35 në të ardhmen.

Përditësimi më 10 maj 2020 - APT35 i përfshirë në fushatën e hakimit të COVID-19

Një grup arkivash në internet të disponueshëm publikisht të rishikuara nga ekspertë të sigurisë kibernetike zbuluan se grupi i hakerëve iranian i njohur si Charming Kitten, ndër emrat e tjerë, qëndronte pas një sulmi kibernetik të prillit kundër kompanisë së drogës Gilead Sciences Inc me bazë në Kaliforni, e përfshirë në kërkimin për COVID-19.

Në një nga rastet që gjetën studiuesit e sigurisë, hakerët përdorën një faqe false të hyrjes me email që ishte krijuar posaçërisht për të vjedhur fjalëkalime nga një ekzekutiv i lartë i Gilead, i përfshirë në çështje korporative dhe ligjore. Sulmi u gjet në një faqe interneti që përdoret për të skanuar adresat e internetit për aktivitete me qëllim të keq, por studiuesit nuk ishin në gjendje të përcaktonin nëse ishte i suksesshëm.

grupet e hakerëve në trend
Grafiku i grupeve të hakerëve në tendencë APT - Burimi: Securitystack.co

Një nga analistët që hulumtoi sulmin ishte Ohad Zaidenberg nga firma izraelite e sigurisë kibernetike ClearSky. Ai komentoi se sulmi i prillit kundër Gilead ishte një përpjekje për të kompromentuar llogaritë e emailit të korporatave me një mesazh që imitonte një hetim gazetari. Analistë të tjerë, të cilët nuk ishin të autorizuar të komentonin publikisht, kanë konfirmuar që atëherë se sulmi përdorte domene dhe serverë që ishin përdorur më parë nga grupi i hakerëve iranian i njohur si Charming Kitten.

Misioni diplomatik i Iranit në Kombet e Bashkuara ka mohuar çdo përfshirje në sulme të tilla , me zëdhënësin Alireza Miryousefi duke deklaruar se "Qeveria iraniane nuk angazhohet në luftë kibernetike", duke shtuar "Aktivitetet kibernetike në të cilat përfshihet Irani janë thjesht mbrojtëse dhe për të mbrojtur kundër sulmeve të mëtejshme ndaj Infrastruktura iraniane”.

vend në shënjestër sulmuesit iranian
Vendet e synuara në fushatat e fundit kibernetike iraniane - Burimi: Stratfor.com

Gilead ka ndjekur politikën e kompanisë për diskutimin e çështjeve të sigurisë kibernetike dhe ka refuzuar të komentojë. Kompania ka marrë shumë vëmendje kohët e fundit, pasi është prodhuesi i ilaçit antiviral remdesivir, i cili aktualisht është i vetmi trajtim i provuar për të ndihmuar pacientët e infektuar me COVID-19. Gilead është gjithashtu një nga kompanitë që udhëheq kërkimin dhe zhvillimin e një trajtimi për sëmundjen vdekjeprurëse, duke e bërë atë një objektiv kryesor për përpjekjet për mbledhjen e inteligjencës.