Analyytikot ovat paljastaneet Iraniin liittyvän APT:n, joka lähettää haitallisia sähköposteja Israelin korkeille viranomaisille.
Tietojenkalastelukampanjan takana, joka kohdistuu korkean profiilin hallitukseen ja Israelin armeijan henkilöstöön, uskotaan edistyneen jatkuvan uhkaryhmän, jolla on siteitä Iraniin. Check Point Softwaren raporttiin.
Kampanjan kohteina olivat Israelin puolustusteollisuuden korkea johto, Yhdysvaltain entinen Israelin-suurlähettiläs ja Israelin entinen varapääministeri.
Kampanjan tavoitteena oli tutkijoiden mukaan saada henkilökohtaisia tietoja kohteista.
Väärennetyt sähköpostit laillisista osoitteista
Yksi kohteista on Check Pointin mukaan Tzipi Livni, Israelin entinen ulkoministeri, oikeusministeri ja varapääministeri. Tutkijat uskovat, että kohde valittiin hänen osoitekirjassaan olevan korkeatasoisen yhteystietoluettelon vuoksi.
Hän sai vähän aikaa sitten sähköpostin tutkijoiden mukaan "tuntetulta entiseltä kenraalimajurilta IDF:ssä, joka palveli erittäin arkaluonteisessa asemassa". Lähettäjän osoitetta ei väärennetty – se oli sama verkkotunnus, jota hän oli aiemmin vastannut. Hepreasta käännetty viesti kuului seuraavasti:
Hei rakkaat ystäväni, katso liitteenä oleva artikkeli yhteenveto vuodesta. ((*vain silmät*)) En tietenkään halua, että sitä jaetaan, koska se ei ole lopullinen versio. Otan mielelläni vastaan kaikenlaisia huomautuksia. Hyvää loppupäivää.
Viesti sisälsi linkin. Livni viivytti linkin napsauttamista, mikä sai useita seurantasähköposteja.
Hyvää huomenta, en ole kuullut sinusta. Jotkut ystävät lähettivät minulle huomautuksia. Huomautuksenne ovat myös minulle erittäin tärkeitä. Tiedän, että olet hyvin kiireinen. Mutta halusin pyytää sinua ottamaan aikaa ja lukemaan artikkelin. Hyvä viikko
Check Pointin mukaan lähettäjän sinnikkyys ja viestitulva herättivät hänen epäilyjänsä. Livnin tapaamisen jälkeen entisen kenraalimajurin kanssa kävi selväksi, että sähköpostit oli lähetetty vaarantuneelta tililtä ja viestien sisältö oli osa tietojenkalasteluhyökkäystä.
Se oli samanlainen tarina muille tämän kampanjan kohteille – epäillyt sähköpostit lähetettiin laillisilta yhteyshenkilöiltä.
Mitä todella tapahtui
Hyökkäysmenetelmä ei ollut erityisen tekninen. "Toimenpiteen kehittynein osa on sosiaalinen suunnittelu", Check Point Researchin uhkien tiedusteluryhmän johtaja Sergey Shykevich totesi. Hän sanoi, että kampanja oli "erittäin kohdennettu tietojenkalasteluketju, joka on erityisesti suunniteltu jokaiselle kohteelle". Henkilökohtaisesti laaditut tietojenkalasteluviestit on tekniikka, jota kutsutaan keihästietojenkalasteluksi.
Hyökkääjät aloittivat keihään tietojenkalasteluhyökkäyksensä murtautumalla ensin kohteensa yhteyshenkilölle kuuluvaan sähköpostiosoitteeseen. Sitten he jatkavat kaapattua tiliä käyttämällä jo olemassa olevaa sähköpostiketjua yhteyshenkilön ja kohteen välillä. Ajan mittaan he ohjasivat keskustelun houkuttelemaan kohdetta haitallisen linkin tai asiakirjan napsautukseen tai avaamiseen.
"Joissakin sähköpostiviesteissä on linkki todelliseen asiakirjaan, joka liittyy kohteeseen", Check Pointin analyytikot huomauttivat. Esimerkiksi "kutsu konferenssiin tai tutkimukseen, Yahoon tietojenkalastelusivu, linkki asiakirjaskannausten lataamiseen".
"Tavoitteena" oli lopulta "varastaa heidän henkilökohtaisia tietojaan, passinskannauksia ja pääsy heidän sähköpostitileihinsa".
Kuka ja miksi
"Meillä on vankat todisteet siitä, että se alkoi ainakin joulukuussa 2021", Shykevich kirjoitti, "mutta oletamme sen alkaneen aikaisemmin."
Analyysissaan tutkijat löysivät todisteita, jotka heidän mielestään viittaavat Iraniin liittyvään Phosphorus APT -ryhmään (alias Charming Kitten, Ajax Security, NewsBeef, APT35). Fosfori on yksi Iranin eniten aktiivinen APT:t, joilla on "pitkä historia korkean profiilin kyberoperaatioiden suorittamisesta, Iranin hallinnon edun mukaista, sekä israelilaisten viranomaisten kohteeksi joutuneet".
Iran ja Israel ovat yleensä ristiriidassa, ja nämä hyökkäykset tapahtuivat "keskellä Israelin ja Iranin välisten jännitteiden kärjistymistä. Iranilaisten virkamiesten (jotkut ovat sidoksissa Israelin Mossadiin) äskettäin tapahtuneiden salamurhien ja Israelin kansalaisten kidnappausyritysten estymisen vuoksi epäilemme, että Phosphorous jatkaa meneillään olevia ponnistelujaan myös tulevaisuudessa.
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Hallitus
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
- zephyrnet
