Цхарминг Киттен АПТ
Шармантно маче , такође познато као АПТ35, је напредна упорна претња, хакерска група за коју се сумња да има везе са Ираном. Група је позната и под другим именима: Пхоспхорус, Ајак Сецурити Теам и Невсцастер Теам. Запажено је да Шармантно маче има политички мотивисане кампање, али и оне мотивисане финансијским разлозима. Они циљају на активисте за људска права, медијске организације и академски сектор. Већина њихових кампања је инсистирала на нападима на Уједињено Краљевство, Сједињене Државе, Иран и Израел.
Преглед садржаја
Кампање за шармантне мачиће
Једна од експанзивнијих операција које је предузела хакерска група спроведена је против ХБО-а 2017. Сајбер криминалци су процурили око терабајта података са личним подацима о особљу компаније, предстојећим емисијама и још много тога. Други напади које је извео Цхарминг Киттен, звани АПТ35, укључивали су приступ детаљним подацима преко пребега из америчког ваздухопловства и лажирање веб странице израелске компаније за сајбер безбедност да би се украли детаљи за пријаву. Напад који их је повезао са Ираном била је операција из 2018. усмерена на политичке активисте која је утицала на санкције усмерене против земље. Оперативци Цхарминг Киттен-а су користили пхисхинг мејлове са злонамерним прилозима и друштвеним инжењерингом да би се представљали као високо рангирани професионалци.
Ирански угао за шармантно маче
Циљане пхисхинг кампање биле су део начина на који АПТ35 (Шармантно маче) послује, као што се могло видети у њиховој кампањи из 2019. која је имала за циљ лажно представљање бивших новинара Валл Стреет Јоурнал-а. Они су користили тај приступ да забију канџе у своје жртве уз обећање интервјуа или позива на вебинаре, често на теме иранских и међународних односа у то време.
У једном од ових случајева, нападачи су саставили мејл на арапском под лажним идентитетом имитирајући стварног Фарназа Фасихија, бившег радника Волстрит џорнала са 17 година рада за ту публикацију. Оперативци Цхарминг Киттен представили су ову лажну личност као да још увек ради за ВСЈ.
Лажни захтев за интервју. Извор: блог.цертфа.цом
Садржај мејла је био следећи:
Здраво *** ***** ******
Моје име је Фарназ Фасихи. Ја сам новинар у новинама Валл Стреет Јоурнал.
Блискоисточни тим ВСЈ намерава да представи успешне нелокалне појединце у развијеним земљама. Ваше активности у области истраживања и филозофије науке довеле су ме да вас представим као успешног Иранца. Директор тима за Блиски исток нас је замолио да направимо интервју са вама и поделимо нека од ваших важних достигнућа са нашом публиком. Овај интервју би могао да мотивише младе наше вољене земље да открију своје таленте и крену ка успеху.
Непотребно је рећи да је овај интервју за мене лично велика част и позивам вас да прихватите мој позив за интервју.
Питања је професионално осмислила група мојих колега, а резултујући интервју ће бити објављен у одељку Недељни интервју на ВСЈ. Послаћу вам питања и захтеве интервјуа чим прихватите.
*Фуснота: Не-локално се односи на људе који су рођени у другим земљама.
Хвала вам на љубазности и пажњи.
Фарназ Фасихи
Везе унутар е-порука биле су у кратком УРЛ формату, који су актери претњи често користили да прикрију легитимне везе иза себе, са циљем прикупљања података о ИП адресама, верзијама претраживача и ОС-а и још много тога. То је помогло да се отвори пут даљим нападима изградњом поверења уз поновљену комуникацију и припремањем за тренутак за акцију.
Када се временом успостави поверење, хакери шаљу везу која садржи наводна питања за интервју. Узорци тима за хитне случајеве рачунара на фарсију (ЦЕРТФА) показали су да су нападачи користили методу коју су користили пхисхери последњих година, са страницама које су хостоване на Гоогле сајтовима.
Када жртва отвори везу, може бити преусмерена на другу лажну страницу која покушава да сними њихове акредитиве за пријаву и двофакторни код за аутентификацију помоћу комплета за пхисхинг.
Резиме операција шармантног мачића
Истраживачи су открили први талас пхисхинг напада 2015. године, а касније шпијунске операције масовних размера које су открили истраживачи ЦлеарСки-а од 2016. до 2017. Оператери Цхарминг Киттен-а су користили лажно представљање, пхисхинг и нападе на воду.
У 2018. сајбер-криминалци Цхарминг Киттен су кренули на ЦлеарСки са лажном веб-страницом која се лажно представљала као портал безбедносне компаније. Те године је идентификовано више напада на мете на Блиском истоку са лажном кампањом е-поште и лажним веб локацијама.
У 2019. активности Цхарминг Киттен-а (АПТ35) проширене су циљањем на не-Иранце у САД, Блиском истоку и Француској, уз циљање јавних личности изван академских ђавола којима су првобитно тежили. Почели су да прилажу трагач у своју е-пошту како би пратили мејлове прослеђене на друге налоге, са намером да добију геолокацијске податке.
>>>Ажурирање 10. маја 2020. - АПТ35 (Шармантно маче) укључен у кампању хаковања ЦОВИД-19
Група јавно доступних веб архива које су прегледали стручњаци за сајбер безбедност открила је да је иранска хакерска група позната као Цхарминг Киттен, између осталих имена, стајала иза сајбер-напада у априлу на фармацеутску компанију Гилеад Сциенцес Инц у Калифорнији која је укључена у истраживање ЦОВИД-19.
У једном од случајева на које су наишли истраживачи безбедности, хакери су користили лажну страницу за пријаву путем е-поште која је посебно дизајнирана да украде лозинке од највишег директора Гилеада, укљученог у корпоративне и правне послове. Напад је пронађен на веб локацији која се користи за скенирање веб адреса у потрази за злонамерним активностима, али истраживачи нису могли да утврде да ли је био успешан.
Један од аналитичара који је истраживао напад био је Охад Заиденберг из израелске компаније за сајбер безбедност ЦлеарСки. Он је прокоментарисао да је априлски напад на Гилеад био покушај компромитовања корпоративних налога е-поште поруком која је лажно представљала новинарско испитивање. Други аналитичари, који нису били овлашћени да јавно коментаришу, од тада су потврдили да су у нападу коришћени домени и сервери које је раније користила иранска хакерска група позната као Цхарминг Киттен.
Графикон АПТ хакерских група у тренду – Извор: Сецуритистацк.цо
Иранска дипломатска мисија при Уједињеним нацијама негирала је било какву умешаност у такве нападе, а портпарол Алиреза Мирјусефи је изјавио да „иранска влада не учествује у сајбер ратовању“, додајући да су „Сајбер активности у којима се Иран ангажује су искључиво одбрамбене и за заштиту од даљих напада на иранска инфраструктура“.
Гилеад је следио политику компаније о расправи о питањима сајбер безбедности и одбио је да коментарише. Компанија је у последње време добила велику пажњу, јер је произвођач антивирусног лека ремдесивир, који је тренутно једини лек за који се показало да помаже пацијентима зараженим ЦОВИД-19. Гилеад је такође једна од компанија које воде истраживање и развој третмана за смртоносну болест, што га чини главном метом за напоре у прикупљању обавештајних података.
