Elemzők egy Iránhoz köthető APT-t fedeztek fel, amely rosszindulatú e-maileket küld az izraeli kormányzati tisztviselőknek.
Egy előrehaladott, tartós fenyegetettségi csoportot feltételeznek, amely kapcsolatban áll Iránnal egy nagy horderejű izraeli kormányt és katonai személyzetet célzó adathalász kampány mögött. a Check Point Software jelentésére.
A kampány célpontjai között szerepelt az izraeli védelmi ipar magas rangú vezetése, az Egyesült Államok volt izraeli nagykövete és Izrael volt miniszterelnök-helyettese.
A kampány célja a kutatók szerint az volt, hogy személyes információkat szerezzenek a célpontoktól.
Hamis e-mailek legális címekről
A Check Point szerint az egyik célpont Cipi Livni, Izrael volt külügyminisztere, igazságügy-minisztere és miniszterelnök-helyettes. A kutatók úgy vélik, hogy a célpontot azért választották ki, mert nagy kaliberű névjegyzék volt a címjegyzékében.
Nem sokkal ezelőtt e-mailt kapott a kutatók szerint „egy jól ismert volt vezérőrnagytól az IDF-ben, aki rendkívül kényes beosztásban szolgált”. A feladó címe nem volt hamis – ugyanaz a domain volt, amellyel korábban levelezett. Héberről lefordítva az üzenet így szólt:
Sziasztok kedves barátaim! Kérjük, tekintse meg a mellékelt cikket az év összefoglalásához. ((*csak a szem*)) Természetesen nem szeretném, ha terjesztenék, mert nem ez a végleges verzió. Bármilyen észrevételt szívesen fogadok. Jó napot kívánok.
Az üzenet linket tartalmazott. Livni késve kattintott a linkre, ezért több e-mailt is kért.
Jó reggelt, nem hallottam felőled. Néhány barátom megjegyzéseket küldött nekem. Az Ön megjegyzései is nagyon fontosak számomra. Tudom, hogy nagyon elfoglalt vagy. De meg akartam kérni, hogy szánjon időt és olvassa el a cikket. Jó hét
A Check Point szerint a feladó kitartása és a rengeteg üzenet felkeltette a gyanút. Miután Livni találkozott a volt vezérőrnaggyal, világossá vált, hogy az e-maileket egy feltört fiókról küldték, és az üzenetek tartalma egy adathalász támadás része volt.
Hasonló volt a történet a kampány többi célpontjánál is – gyanús e-maileket küldtek törvényes ismerősöktől.
Mi történt valójában
A támadás módja nem volt különösebben technikai. „A művelet legkifinomultabb része a szociális tervezés” – jegyezte meg Sergey Shykevich, a Check Point Research fenyegetettségi hírszerzési csoportjának vezetője. Elmondta, hogy a kampány „nagyon célzott adathalász lánc volt, amelyet minden egyes célponthoz kifejezetten kidolgoztak”. A személyesen elkészített adathalász e-mailek lándzsás adathalászatnak nevezett technika.
A támadók lándzsás adathalász támadásaikat kezdeményezték, először a célpontjuk kapcsolattartójához tartozó e-mail címjegyzék feltörésével. Ezután a feltört fiók segítségével egy már meglévő e-mail láncot folytattak a kapcsolattartó és a célpont között. Idővel arra terelték a beszélgetést, hogy a célpontot rávegyék egy rosszindulatú linkre vagy dokumentumra való kattintásra vagy megnyitásra.
„Néhány e-mail egy valódi dokumentumra mutató hivatkozást tartalmaz, amely releváns a cél szempontjából” – jegyezték meg a Check Point elemzői. Például egy „meghívás egy konferenciára vagy kutatásra, a Yahoo adathalász oldala, link a szkennelt dokumentumok feltöltésére”.
„A cél végül az volt, hogy „ellopják személyes adataikat, útleveleik szkennelését, és ellopják a hozzáférést a levelezési fiókjukhoz”.
Ki és miért
"Szilárd bizonyítékunk van arra, hogy legalább 2021 decemberétől kezdődött" - írta Shykevich -, de feltételezzük, hogy korábban kezdődött.
Elemzésük során a kutatók bizonyítékokat találtak, amelyek szerintük az Iránhoz köthető Phosphorus APT csoportra (más néven Charming Kitten, Ajax Security, NewsBeef, APT35) utalnak. A foszfor egyike Iránnak a legtöbb aktív Az APT-k „hosszú múlttal rendelkeznek a nagy horderejű kiberműveletek végrehajtásában, összhangban az iráni rezsim érdekeivel, valamint izraeli tisztviselőket céloznak meg”.
Irán és Izrael általában ellentmondásban van egymással, és ezek a támadások „az Izrael és Irán közötti feszültség fokozódása közepette történtek. Az iráni tisztviselők (néhányan az izraeli Moszadhoz kötődő) közelmúltbeli meggyilkolása és az izraeli állampolgárok világszerte történő elrablására tett meghiúsult kísérletek miatt gyanítjuk, hogy a Phosphorous a jövőben is folytatni fogja a folyamatban lévő erőfeszítéseit.
