АПТ35

АПТ35 Опис

апт35 хакерски групни напади АПТ35 (Адванцед Персистент Тхреат) је хакерска група за коју се верује да потиче из Ирана. Ова хакерска група је такође позната под неколико других алијаса – Невсцастер Теам, Пхоспхорус, Цхарминг Киттен и Ајак Сецурити Теам. Хакерска група АПТ35 обично је укључена како у политички мотивисане кампање, тако иу оне финансијски мотивисане. Хакерска група АПТ35 тежи да концентрише своје напоре против актера укључених у активизам за људска права, разних медијских организација и углавном академског сектора. Већина кампања се спроводи у Сједињеним Државама, Израелу, Ирану и Великој Британији.

Популарне АПТ35 кампање

Једна од најозлоглашенијих операција АПТ35 је она која је спроведена против ХБО-а која се догодила 2017. У њој је АПТ35 процурио преко 1ТБ података, који су се састојали од личних података особља и емисија, које тек треба да буду званично емитоване. Још једна злогласна кампања АПТ35 која их је ставила на мапу је она која је такође укључила пребега из америчког ваздухопловства. Дотични појединац помогао је АПТ35 да добије приступ поверљивим државним подацима. Група АПТ35 је 2018. године направила веб локацију која је требало да опонаша легитимну израелску компанију за сајбер безбедност. Једина разлика је била у томе што је лажна веб локација имала мало измењено име домена. Ова кампања је помогла АПТ35 да добије податке за пријаву неких клијената компаније. Најновија злогласна кампања која укључује АПТ35 спроведена је у децембру 2018. У овој операцији, група АПТ35 је деловала под псеудонимом Цхарминг Киттен. Ова операција је била усмерена на различите политичке активисте који су имали утицаја на економске санкције, као и на војне санкције Ирану у то време. Група АПТ35 се представљала као професионалци високог ранга укључени у иста поља као и њихове мете. Нападачи су користили прилагођене пхисхинг мејлове са лажним прилогима, као и лажне профиле друштвених медија.

Пецање са лажним е-порукама за интервјуе

Циљане пхисхинг кампање су део начина рада Цхарминг Киттен-а, при чему хакери користе лажне имејлове и друштвени инжењеринг као методе извршења. У једној кампањи из 2019., група Цхарминг Киттен је глумила бивше новинаре Валл Стреет Јоурнал-а (ВСЈ) и приближила се њиховим намераваним жртвама помоћу сценарија лажног интервјуа. Група је такође примећена користећи различите сценарије, као што су „Интервју за ЦНН“ и „Позив на вебинар Дојче велеа“, обично око иранских и међународних питања.

У једном конкретном случају, нападачи су направили лажну е-пошту на арапском језику, користећи идентитет Фарназа Фасихија, тренутно новинара Њујорк тајмса, који је претходно 17 година радио за Тхе Валл Стреет Јоурнал. Занимљиво је да су хакери представили Фарназ Фасихија да ради за њеног бившег послодавца, Тхе Валл Стреет Јоурнал.


Лажна е-пошта са захтевом за интервју – Извор: блог.цертфа.цом

Превод е-поште:

Здраво *** ***** ******
Моје име је Фарназ Фасихи. Ја сам новинар у новинама Валл Стреет Јоурнал.
Блискоисточни тим ВСЈ намерава да представи успешне нелокалне појединце у развијеним земљама. Ваше активности у области истраживања и филозофије науке довеле су ме да вас представим као успешног Иранца. Директор тима за Блиски исток нас је замолио да направимо интервју са вама и поделимо нека од ваших важних достигнућа са нашом публиком. Овај интервју би могао да мотивише младе наше вољене земље да открију своје таленте и крену ка успеху.
Непотребно је рећи да је овај интервју за мене лично велика част и позивам вас да прихватите мој позив за интервју.
Питања је професионално осмислила група мојих колега, а резултујући интервју ће бити објављен у одељку Недељни интервју на ВСЈ. Послаћу вам питања и захтеве интервјуа чим прихватите.
*Фуснота: Не-локално се односи на људе који су рођени у другим земљама.
Хвала вам на љубазности и пажњи.
Фарназ Фасихи

Све везе садржане у имејловима биле су у скраћеном формату УРЛ-а, који су хакери користили да усмере своју жртву до легитимних адреса, док су прикупљали битне информације о њиховим уређајима, као што су оперативни систем, претраживач и ИП адреса. Ова информација је била потребна од хакера у припреми за главни напад на њихове мете.


Узорак лажне ВСЈ странице хостоване на Гоогле сајтовима – Извор: блог.цертфа.цом

Након успостављања релативног поверења са намераваном метом, хакери би им послали јединствену везу, која наводно садржи питања за интервју. Према узорцима које је тестирао компјутерски тим за хитне случајеве на фарсију (ЦЕРТФА), нападачи користе релативно нову методу која је стекла велику популарност међу пхисхерс током прошле године, хостујући странице на Гоогле сајтовима.

Када жртва кликне на дугме „Преузми“ на страници Гоогле сајта, биће преусмерена на другу лажну страницу која ће покушати да прикупи акредитиве за пријаву за њихову адресу е-поште и њихов двофакторски код за аутентификацију, користећи комплете за пхисхинг као што је Модлисхка.

Злонамерни софтвер ДовнПапер компаније АПТ35

Алат ДовнПапер је бацкдоор тројанац, који се углавном користи као корисни терет у првој фази и има могућности за:

  • Успоставите везу са нападачевим Ц&Ц (Цомманд & Цонтрол) сервером и примите команде и штетне корисне податке, који ће се извршити на инфилтрираном хосту.
  • Добијте упорност неовлашћеним приступом Виндовс регистру.
  • Прикупите информације о компромитованом систему, као што су подаци о хардверу и софтверу.
  • Извршите ЦМД и ПоверСхелл команде.

Хакерска група АПТ35 је веома упорна група појединаца и мало је вероватно да планирају да зауставе своје активности у скорије време. Имајући у виду да се политичка клима око Ирана већ неко време захуктава, вероватно ћемо и убудуће слушати о кампањама групе АПТ35.

Ажурирање 10. маја 2020. – АПТ35 укључен у кампању хаковања ЦОВИД-19

Група јавно доступних веб архива које су прегледали стручњаци за сајбер безбедност открила је да је иранска хакерска група позната као Цхарминг Киттен, између осталих имена, стајала иза сајбер-напада у априлу на фармацеутску компанију Гилеад Сциенцес Инц у Калифорнији која је укључена у истраживање ЦОВИД-19.

У једном од случајева на које су наишли истраживачи безбедности, хакери су користили лажну страницу за пријаву путем е-поште која је посебно дизајнирана да украде лозинке од највишег директора Гилеада, укљученог у корпоративне и правне послове. Напад је пронађен на веб локацији која се користи за скенирање веб адреса у потрази за злонамерним активностима, али истраживачи нису могли да утврде да ли је био успешан.

популарне групе хакера
Графикон АПТ хакерских група у тренду – Извор: Сецуритистацк.цо

Један од аналитичара који је истраживао напад био је Охад Заиденберг из израелске компаније за сајбер безбедност ЦлеарСки. Он је прокоментарисао да је априлски напад на Гилеад био покушај компромитовања корпоративних налога е-поште поруком која је опонашала новинарски упит. Други аналитичари, који нису били овлашћени да јавно коментаришу, од тада су потврдили да су у нападу коришћени домени и сервери које је раније користила иранска хакерска група позната као Цхарминг Киттен.

Иранска дипломатска мисија при Уједињеним нацијама негирала је било какву умешаност у такве нападе , а портпарол Алиреза Мирјусефи је изјавио да „иранска влада не учествује у сајбер ратовању“, додајући да су „Сајбер активности у којима се Иран ангажује су искључиво одбрамбене и да штите од даљих напада на иранска инфраструктура“.

циљане земље ирански нападачи
Земље циљане у недавним иранским сајбер кампањама – Извор: Стратфор.цом

Гилеад је следио политику компаније о питањима сајбер безбедности и одбио је да коментарише. Компанија је у последње време добила велику пажњу, јер је произвођач антивирусног лека ремдесивир, који је тренутно једини лек за који се показало да помаже пацијентима зараженим ЦОВИД-19. Гилеад је такође једна од компанија које воде истраживање и развој третмана за смртоносну болест, што га чини главном метом за напоре у прикупљању обавештајних података.