Οι αναλυτές ανακάλυψαν ένα APT που συνδέεται με το Ιράν, το οποίο στέλνει κακόβουλα email σε κορυφαίους ισραηλινούς κυβερνητικούς αξιωματούχους.
Μια προηγμένη ομάδα επίμονης απειλής, με δεσμούς με το Ιράν, πιστεύεται ότι βρίσκεται πίσω από μια εκστρατεία phishing που στοχεύει υψηλού προφίλ κυβερνητικό και στρατιωτικό ισραηλινό προσωπικό, σύμφωνα με σε μια αναφορά από το Check Point Software.
Οι στόχοι της εκστρατείας περιελάμβαναν μια ανώτερη ηγεσία της ισραηλινής αμυντικής βιομηχανίας, τον πρώην πρέσβη των ΗΠΑ στο Ισραήλ και τον πρώην αντιπρόεδρο της κυβέρνησης του Ισραήλ.
Ο στόχος της εκστρατείας, είπαν οι ερευνητές, ήταν η απόκτηση προσωπικών πληροφοριών από στόχους.
Ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου από νόμιμες διευθύνσεις
Ένας από τους στόχους, σύμφωνα με το Check Point, είναι η Τζίπι Λίβνι, πρώην υπουργός Εξωτερικών, υπουργός Δικαιοσύνης και αντιπρόεδρος της κυβέρνησης του Ισραήλ. Οι ερευνητές πιστεύουν ότι ο στόχος επιλέχθηκε λόγω της λίστας επαφών υψηλού διαμετρήματος στο βιβλίο διευθύνσεών της.
Πριν από λίγο καιρό έλαβε ένα email από, σύμφωνα με τους ερευνητές, «έναν γνωστό πρώην Υποστράτηγο του Ισραηλινού Στρατού που υπηρετούσε σε μια εξαιρετικά ευαίσθητη θέση». Η διεύθυνση του αποστολέα δεν ήταν πλαστογραφημένη – ήταν ο ίδιος τομέας με τον οποίο είχε αλληλογραφεί πριν. Μετάφραση από τα εβραϊκά, το μήνυμα έγραφε:
Γεια σας αγαπητοί μου φίλοι, δείτε το συνημμένο άρθρο για να συνοψίσετε τη χρονιά. ((*μόνο μάτια*)) Φυσικά δεν θέλω να διανεμηθεί, γιατί δεν είναι η τελική έκδοση. Θα χαρώ να λάβω παρατηρήσεις κάθε είδους. Καλό υπόλοιπο της ημέρας.
Το μήνυμα περιείχε έναν σύνδεσμο. Ο Livni καθυστέρησε να κάνει κλικ στον σύνδεσμο, προκαλώντας πολλά επόμενα email.
Καλημέρα, δεν έχω νέα σας. Κάποιοι φίλοι μου έστειλαν παρατηρήσεις. Οι παρατηρήσεις σας είναι επίσης πολύ σημαντικές για μένα. Ξέρω ότι είσαι πολύ απασχολημένος. Αλλά ήθελα να σας ζητήσω να αφιερώσετε χρόνο και να διαβάσετε το άρθρο. Καλή εβδομάδα
Η επιμονή του αποστολέα και ο καταιγισμός των μηνυμάτων της κίνησαν τις υποψίες, σύμφωνα με το Check Point. Μετά τη συνάντηση του Livni με τον πρώην Υποστράτηγο, έγινε σαφές ότι τα email στάλθηκαν από έναν παραβιασμένο λογαριασμό και το περιεχόμενο των μηνυμάτων ήταν μέρος μιας επίθεσης phishing.
Ήταν παρόμοια ιστορία για τους άλλους στόχους αυτής της καμπάνιας - ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου αποστέλλονταν από νόμιμες επαφές.
Τι πραγματικά συνέβη
Η μέθοδος επίθεσης δεν ήταν ιδιαίτερα τεχνική. «Το πιο εξελιγμένο μέρος της επιχείρησης είναι η κοινωνική μηχανική», σημείωσε ο Sergey Shykevich, διευθυντής ομάδας πληροφοριών απειλών στο Check Point Research. Είπε ότι η καμπάνια ήταν «μια πολύ στοχευμένη αλυσίδα phishing που είναι ειδικά δημιουργημένη για κάθε στόχο». Τα προσωπικά δημιουργημένα μηνύματα ηλεκτρονικού ψαρέματος είναι μια τεχνική που ονομάζεται spear phishing.
Οι επιτιθέμενοι ξεκίνησαν τις επιθέσεις ψαρέματος με δόρυ, πρώτα θέτοντας σε κίνδυνο ένα βιβλίο διευθύνσεων ηλεκτρονικού ταχυδρομείου που ανήκε σε μια επαφή του στόχου τους. Στη συνέχεια, χρησιμοποιώντας τον παραβιασμένο λογαριασμό, θα συνέχιζαν μια ήδη υπάρχουσα αλυσίδα email μεταξύ της επαφής και του στόχου. Με τον καιρό, θα κατευθύνουν τη συνομιλία προς την κατεύθυνση του στόχου να κάνει κλικ ή να ανοίξει έναν κακόβουλο σύνδεσμο ή έγγραφο.
"Μερικά από τα email περιλαμβάνουν έναν σύνδεσμο προς ένα πραγματικό έγγραφο που σχετίζεται με τον στόχο", σημείωσαν οι αναλυτές του Check Point. Για παράδειγμα, μια «πρόσκληση σε συνέδριο ή έρευνα, σελίδα phishing του Yahoo, σύνδεσμος για μεταφόρτωση σαρώσεων εγγράφων».
«Ο στόχος», στο τέλος, ήταν «να κλέψουν τα προσωπικά τους στοιχεία, να σαρώσουν διαβατήρια και να κλέψουν την πρόσβαση στους λογαριασμούς αλληλογραφίας τους».
Ποιος και Γιατί
«Έχουμε βάσιμες αποδείξεις ότι ξεκίνησε τουλάχιστον από τον Δεκέμβριο του 2021», έγραψε ο Shykevich, «αλλά υποθέτουμε ότι ξεκίνησε νωρίτερα».
Στην ανάλυσή τους, οι ερευνητές βρήκαν στοιχεία που πιστεύουν ότι δείχνουν την ομάδα Phosphorus APT που συνδέεται με το Ιράν (γνωστός και ως Charming Kitten, Ajax Security, NewsBeef, APT35). Ο φώσφορος είναι ένα από τα του Ιράν πλέον ενεργός Τα APT, με «μακρά ιστορία διεξαγωγής επιχειρήσεων υψηλού προφίλ στον κυβερνοχώρο, ευθυγραμμισμένα με τα συμφέροντα του ιρανικού καθεστώτος, καθώς και με στόχο Ισραηλινούς αξιωματούχους».
Το Ιράν και το Ισραήλ βρίσκονται συνήθως σε αντιπαράθεση και αυτές οι επιθέσεις έγιναν «εν μέσω της κλιμάκωσης των εντάσεων μεταξύ Ισραήλ και Ιράν. Με τις πρόσφατες δολοφονίες Ιρανών αξιωματούχων (ορισμένοι που συνδέονται με την ισραηλινή Μοσάντ) και τις αποτυχημένες απόπειρες απαγωγής Ισραηλινών πολιτών σε όλο τον κόσμο, υποψιαζόμαστε ότι η Phosphorous θα συνεχίσει τις συνεχείς προσπάθειές της στο μέλλον».
- blockchain
- Coingenius
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Κυβέρνηση
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
- zephyrnet
