Analitiki so odkrili APT, povezano z Iranom, ki pošilja zlonamerna e-poštna sporočila najvišjim uradnikom izraelske vlade.
Domneva se, da za kampanjo lažnega predstavljanja, ki je usmerjena na visoko profilirano izraelsko vladno in vojaško osebje, stoji napredna vztrajna groženjska skupina, povezana z Iranom. na poročilo programske opreme Check Point.
Tarče kampanje so bile višje vodstvo v izraelski obrambni industriji, nekdanji veleposlanik ZDA v Izraelu in nekdanji podpredsednik izraelske vlade.
Cilj kampanje, so povedali raziskovalci, je bil pridobiti osebne podatke od tarč.
Lažna e-poštna sporočila z zakonitih naslovov
Ena od tarč je po poročanju Check Pointa Tzipi Livni, nekdanja izraelska zunanja ministrica, ministrica za pravosodje in podpredsednica vlade. Raziskovalci verjamejo, da je bila tarča izbrana zaradi velikega seznama stikov v njenem imeniku.
Nedolgo nazaj je prejela e-pošto od, kot pravijo raziskovalci, "dobro znanega nekdanjega generalmajorja v IDF, ki je služil na zelo občutljivem položaju." Naslov pošiljatelja ni bil ponarejen – bila je ista domena, s katero si je prej dopisovala. V prevodu iz hebrejščine se je sporočilo glasilo:
Pozdravljeni, dragi moji prijatelji, glejte priloženi članek za povzetek leta. ((*samo oči*)) Seveda ne želim, da bi ga distribuirali, ker ni končna različica. Vesel bom kakršnih koli pripomb. Lep preostanek dneva.
Sporočilo je vsebovalo povezavo. Livni je z zamudo kliknila povezavo, kar je spodbudilo več nadaljnjih e-poštnih sporočil.
Dobro jutro. Nisem se oglasil. Nekateri prijatelji so mi poslali pripombe. Tudi vaše pripombe so zame zelo pomembne. Vem, da si zelo zaposlen. Vendar sem vas želel prositi, da si vzamete čas in preberete članek. Dober teden
Vztrajnost pošiljatelja in množica sporočil sta ji vzbudila sum, poroča Check Point. Ko se je Livni srečal z nekdanjim generalmajorjem, je postalo jasno, da so bila e-poštna sporočila poslana z ogroženega računa in da je bila vsebina sporočil del lažnega predstavljanja.
Podobna zgodba je bila za druge tarče v tej kampanji – sumljiva e-poštna sporočila so bila poslana od legitimnih stikov.
Kaj se je res zgodilo
Metoda napada ni bila posebej tehnična. "Najbolj sofisticiran del operacije je socialni inženiring," je dejal Sergey Shykevich, vodja skupine za obveščanje o grožnjah pri Check Point Research. Dejal je, da je bila kampanja "zelo ciljana veriga lažnega predstavljanja, ki je posebej oblikovana za vsako tarčo." Osebno oblikovana e-poštna sporočila z lažnim predstavljanjem so tehnika, imenovana spear phishing.
Napadalci so sprožili napade z lažnim predstavljanjem, najprej tako, da so ogrozili e-poštni imenik, ki pripada kontaktu njihove tarče. Nato bi z uporabo ugrabljenega računa nadaljevali že obstoječo e-poštno verigo med kontaktom in tarčo. Sčasoma bi usmerili pogovor tako, da bi tarčo prevarali, da klikne ali odpre zlonamerno povezavo ali dokument.
"Nekatera e-poštna sporočila vključujejo povezavo do pravega dokumenta, ki je pomemben za tarčo," so ugotovili analitiki Check Pointa. Na primer »vabilo na konferenco ali raziskavo, stran z lažnim predstavljanjem Yahooja, povezava za nalaganje skeniranih dokumentov«.
"Cilj" je bil na koncu "ukrasti njihove osebne podatke, skeniranje potnih listov in ukrasti dostop do njihovih poštnih računov."
Kdo in zakaj
"Imamo trdne dokaze, da se je začelo vsaj od decembra 2021," je zapisal Shykevich, "vendar predvidevamo, da se je začelo že prej."
V svoji analizi so raziskovalci našli dokaze, za katere verjamejo, da kažejo na z Iranom povezano skupino Phosphorus APT (aka Charming Kitten, Ajax Security, NewsBeef, APT35). Fosfor je eden izmed iranskih Najbolj aktivna APT, z "dolgo zgodovino izvajanja odmevnih kibernetskih operacij, usklajenih z interesi iranskega režima, kot tudi ciljanje na izraelske uradnike."
Iran in Izrael sta običajno v nasprotju, ti napadi pa so prišli »sredi stopnjevanja napetosti med Izraelom in Iranom. Z nedavnimi atentati na iranske uradnike (nekateri so povezani z izraelskim Mosadom) in zavrnjenimi poskusi ugrabitve izraelskih državljanov po vsem svetu sumimo, da bo Phosphorous nadaljeval s svojimi prizadevanji tudi v prihodnosti.«
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- vlada
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
- zefirnet
