Analiștii au descoperit un APT legat de Iran care trimite e-mailuri rău intenționate oficialilor guvernamentali israelieni.
Un grup avansat de amenințare persistentă, cu legături cu Iranul, este considerat în spatele unei campanii de phishing care vizează personal guvernamental și militar israelian de profil înalt, potrivit la un raport al Check Point Software.
Țintele campaniei au inclus o conducere de rang înalt în industria de apărare israeliană, fostul ambasador al SUA în Israel și fostul viceprim-ministru al Israelului.
Scopul campaniei, au spus cercetătorii, a fost obținerea de informații personale de la ținte.
E-mailuri false de la adrese legitime
Una dintre ținte, conform Check Point, este Tzipi Livni, fostul ministru de externe al Israelului, ministru al justiției și viceprim-ministru. Cercetătorii cred că ținta a fost selectată din cauza listei de calibru înalt de contacte din agenda ei.
Nu cu mult timp în urmă, ea a primit un e-mail de la, potrivit cercetătorilor, „un fost general-maior binecunoscut în IDF, care a servit într-o poziție extrem de sensibilă”. Adresa expeditorului nu a fost falsificată – era același domeniu cu care corespondase înainte. Tradus din ebraică, mesajul spunea:
Bună ziua dragii mei prieteni, Vă rugăm să vedeți articolul atașat pentru a rezuma anul. ((*doar ochi*)) Bineînțeles că nu vreau să fie distribuit, pentru că nu este versiunea finală. As fi bucuros sa primesc observatii de orice fel. Să aveți un rest minunat al zilei.
Mesajul conținea un link. Livni a întârziat să facă clic pe link, solicitând mai multe e-mailuri ulterioare.
Bună dimineața, nu am auzit de tine. Unii prieteni mi-au trimis observații. Remarcile tale sunt, de asemenea, foarte importante pentru mine. Știu că ești foarte ocupat. Dar am vrut să vă rog să vă faceți timp și să citiți articolul. O saptamana buna
Persistența expeditorului și valul de mesaje i-au ridicat suspiciuni, potrivit Check Point. După ce Livni sa întâlnit cu fostul general-maior, a devenit clar că e-mailurile au fost trimise dintr-un cont compromis și conținutul mesajelor făcea parte dintr-un atac de tip phishing.
A fost o poveste similară pentru celelalte ținte din această campanie – e-mailuri suspecte au fost trimise de la contacte legitime.
Ce s-a întâmplat de fapt
Metoda de atac nu era deosebit de tehnică. „Cea mai sofisticată parte a operațiunii este ingineria socială”, a menționat Sergey Shykevich, managerul grupului de informații despre amenințări la Check Point Research. El a spus că campania a fost „un lanț de phishing foarte țintit, care este creat special pentru fiecare țintă”. E-mailurile de phishing create personal sunt o tehnică numită spear phishing.
Atacatorii și-au inițiat atacurile de tip spear phishing, mai întâi prin compromiterea unei agende de adrese de e-mail aparținând unui contact al țintei lor. Apoi, folosind contul deturnat, vor continua un lanț de e-mail deja existent între contact și țintă. În timp, ei aveau să direcționeze conversația spre a convinge ținta să facă clic pe sau să deschidă un link sau un document rău intenționat.
„Unele dintre e-mailuri includ un link către un document real care este relevant pentru țintă”, au observat analiștii Check Point. De exemplu, o „invitație la o conferință sau o pagină de cercetare, phishing a Yahoo, link pentru a încărca documente scanate”.
„Scopul”, în cele din urmă, a fost „să le fure informațiile personale, scanările pașapoartelor și să le fure accesul la conturile lor de e-mail”.
Cine și de ce
„Avem dovezi solide că a început cel puțin din decembrie 2021”, a scris Shykevich, „dar presupunem că a început mai devreme”.
În analiza lor, cercetătorii au găsit dovezi despre care cred că indică grupul Phosphorus APT legat de Iran (alias Charming Kitten, Ajax Security, NewsBeef, APT35). Fosforul este unul dintre cele ale Iranului cele mai multe activ APT-urile, cu „o istorie lungă de a desfășura operațiuni cibernetice de mare profil, aliniate cu interesul regimului iranian, precum și care vizează oficialii israelieni”.
Iranul și Israelul sunt de obicei în contradicție, iar aceste atacuri au venit „în mijlocul tensiunilor crescânde dintre Israel și Iran. Cu asasinatele recente ale oficialilor iranieni (unii afiliați cu Mossad-ul israelian) și încercările zădărnicite de a răpi cetățeni israelieni din întreaga lume, bănuim că Phosphorous va continua eforturile sale în curs de desfășurare în viitor.”
- blockchain
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Guvern
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
- zephyrnet
