Чарівне кошеня APT
Чарівне кошеня, також відоме як APT35 , є передовою стійкою загрозою, хакерською групою, яка підозрюється у зв’язках з Іраном. Група також відома під іншими назвами: Phosphorus, Ajax Security Team і Newscaster Team. Було помічено, що Charming Kitten проводить політично вмотивовані кампанії, але також мотивовані фінансовими причинами. Вони орієнтовані на правозахисників, медіа-організації та науковий сектор. Більшість їхніх кампаній підштовхували до нападів на Сполучене Королівство, Сполучені Штати, Іран та Ізраїль.
Зміст
Акції чарівних кошенят
Одна з найбільш масштабних операцій, здійснених групою хакерів, була здійснена проти HBO у 2017 році. Кіберзлочинці розповсюдили близько терабайта даних з особистою інформацією про співробітників компанії, майбутні шоу тощо. Інші атаки, організовані Charming Kitten, також відомі як APT35, включали доступ до детальних даних через перебіжчика з ВПС США та підробку веб-сайту ізраїльської компанії з кібербезпеки з метою крадіжки даних для входу. Атака, яка пов’язала їх з Іраном, була операцією 2018 року, спрямованою проти політичних активістів, що вплинула на санкції, спрямовані проти країни. Оперативники Charming Kitten використовували фішингові листи зі шкідливими вкладеннями та соціальну інженерію, щоб представити себе високопоставленими професіоналами.
Іранський кут для чарівного кошеня
Цільові фішингові кампанії були частиною способу ведення бізнесу APT35 (Чарівне кошеня), як можна було побачити з їхньої кампанії 2019 року, яка була спрямована на видання колишніх журналістів Wall Street Journal. Вони скористалися цим підходом, щоб встромити свої кігті у своїх жертв, обіцяючи інтерв’ю чи запрошення на вебінари, часто на теми іранських та міжнародних справ того часу.
В одному з цих випадків зловмисники написали електронний лист арабською мовою під фальшивою особою, що імітує реального Фарназа Фасіхі, колишнього співробітника Wall Street Journal, який 17 років працює у виданні. Оперативники Charming Kitten представили цю фальшиву особу як досі працюючу на WSJ.
Фальшивий запит на співбесіду. Джерело: blog.certfa.com
Зміст електронного листа був таким:
Здрастуйте *** ***** ******
Мене звати Фарназ Фасіхі. Я журналіст газети Wall Street Journal.
Близькосхідна команда WSJ має намір представити успішних немісцевих осіб у розвинених країнах. Ваша діяльність у галузі досліджень та філософії науки спонукала мене представити вас як успішного іранця. Директор близькосхідної команди попросив нас організувати з вами інтерв’ю та поділитися деякими з ваших важливих досягнень з нашою аудиторією. Це інтерв’ю могло б мотивувати молодь нашої улюбленої країни розкрити свої таланти та рухатися до успіху.
Зайве говорити, що це інтерв’ю є великою честю для мене особисто, і я закликаю вас прийняти моє запрошення на співбесіду.
Питання розроблені професійно групою моїх колег, і отримане інтерв’ю буде опубліковано в розділі Щотижневе інтерв’ю WSJ. Я надішлю вам запитання та вимоги співбесіди, як тільки ви погодитеся.
*Примітка: немісцеві – це люди, які народилися в інших країнах.
Дякуємо за доброту та увагу.
Фарназ Фасіхі
Посилання в електронних листах були у форматі короткого URL, який часто використовували учасники загроз, щоб приховати законні посилання за ними, спрямовані на збір даних про IP-адреси, версії браузера, ОС тощо. Це допомогло прокласти шлях до подальших атак, зміцнюючи довіру за допомогою багаторазового спілкування та підготовки до дій.
Щойно довіра з часом встановлюється, хакери надсилають посилання, яке містить ймовірні запитання на співбесіді. Команда реагування на надзвичайні ситуації на комп’ютері на фарсі (CERTFA) показала, що зловмисники використовували метод, який використовували фішери в останні роки, зі сторінками, розміщеними на Google Sites.
Щойно жертва відкриє посилання, вона може бути перенаправлена на іншу підроблену сторінку, яка намагається записати їхні облікові дані для входу та двофакторний код аутентифікації за допомогою фішингового набору.
Підсумок операцій Чарівного Кошеня
У 2015 році дослідники виявили першу хвилю фішингових атак, а пізніше з 2016 по 2017 роки дослідники ClearSky виявили масові шпигунські операції. Оператори Charming Kitten використовували імітацію, спис-фішинг та атаки водопою.
У 2018 році кіберзлочинці Charming Kitten переслідували ClearSky за допомогою шахрайського веб-сайту, що видає себе за портал охоронної компанії. Того року було виявлено більше атак проти близькосхідних цілей за допомогою фальшивої електронної кампанії та підроблених веб-сайтів.
У 2019 році діяльність Charming Kitten (APT35) розширилася, орієнтуючись на неіранців у США, на Близькому Сході та у Франції, а також на громадських діячів, які не є тими академічними фанами, на яких вони прагнули спочатку. Вони почали прикріплювати трекер до своєї електронної кореспонденції, щоб стежити за листами, які пересилаються на інші облікові записи, маючи намір отримати геолокаційні дані.
>>>Оновлення 10 травня 2020 р. – APT35 (Чарівне кошеня) залучено до хакерської кампанії COVID-19
Набір загальнодоступних веб-архівів, перевірених експертами з кібербезпеки, показав, що іранська хакерська група, відома як Charming Kitten, серед інших імен, стояла за квітневою кібератакою на фармацевтичну компанію Gilead Sciences Inc., яка бере участь у дослідженнях COVID-19.
В одному із випадків, на які натрапили дослідники безпеки, хакери використали фіктивну сторінку входу в електронну пошту, яка була спеціально розроблена для крадіжки паролів у топ-менеджера Gilead, який займається корпоративними та юридичними справами. Атаку виявили на веб-сайті, який використовується для сканування веб-адрес на наявність шкідливої діяльності, але дослідники не змогли визначити, чи була вона успішною.
Одним з аналітиків, які досліджували атаку, був Охад Зайденберг з ізраїльської фірми з кібербезпеки ClearSky. Він прокоментував, що квітнева атака на Gilead була спробою скомпрометувати корпоративні облікові записи електронної пошти за допомогою повідомлення, яке видавало себе за запит журналіста. Інші аналітики, які не були уповноважені давати публічні коментарі, з тих пір підтвердили, що в атаці були використані домени та сервери, які раніше використовувала іранська хакерська група, відома як Charming Kitten.
Діаграма тенденційних груп хакерів APT – Джерело: Securitystack.co
Дипломатичне представництво Ірану при ООН заперечило будь-яку причетність до таких атак, а прес-секретар Аліреза Мірюсефі заявила, що «іранський уряд не бере участь у кібервійні», додавши, що «кібердіяльність Ірану є виключно оборонною та для захисту від подальших атак на Іранська інфраструктура».
Gilead дотримувався політики компанії щодо обговорення питань кібербезпеки і відмовився від коментарів. Останнім часом компанія привернула велику увагу, оскільки є виробником противірусного препарату ремдезивір, який наразі є єдиним засобом, який, як доведено, допомагає пацієнтам, інфікованим COVID-19. Gilead також є однією з компаній, які ведуть дослідження та розробку засобів для лікування смертельної хвороби, що робить її основною мішенню для збору розвідувальних даних.
