Cyberprzestępcy działający na rzecz Iranu atakują badaczy zajmujących się wojną Izraela z Hamasem. Wykorzystują do tego zaawansowaną socjotechnikę – ostrzega zespół Microsoft Threat Intelligence zajmujący się wykrywaniem i analizą zagrożeń.
Gang znany jako Mint Sandstorm, Charming Kitten lub APT35 obrał za cel badaczy zajmujących się wojną Izraela z Hamasem.
Wspomniana grupa cyberprzestępcza wiązana jest z Iranem, konkretniej zaś – z irańskim wywiadem wojskowym. Jej metody działania – o czym informuje zespół ds. analizy zagrożeń Microsoft Threat Intelligence, obejmują zaawansowaną socjotechnikę, w tym – phishing, który jednak nie jest celem samym w sobie, a wstępem do właściwego ataku.
Ten następuje przy pomocy złośliwego oprogramowania wykradającego dane, którym urządzenie ofiary infekowane jest z wykorzystaniem spreparowanego archiwum RAR. Oprogramowanie stosowane przez APT35 wykrada dane, szczególnie zaś dane wrażliwe.
Szybka kampania Iranu
Co ciekawe, kampanię wykryto już w listopadzie 2023 r., czyli miesiąc po ataku Hamasu na Izrael i początku wojny, w której Iran zajął stronę antyizraelską (to odwieczny wróg Tel Awiwu).
Celem ataków są przede wszystkim ci eksperci, którzy w przekonaniu Teheranu mają możliwość wpływania na działania polityków i zakresie realizacji celów korzystnych z punktu widzenia Iranu.
Iran chce zaś – dzięki wykradaniu danych – pozyskać dane wartościowe z punktu widzenia wywiadu i zbudować obraz tego, jak na świecie widziany jest konflikt Izraela z Hamasem – w możliwie pełnym spektrum ideologicznym i politycznym.
Na celowniku cyberprzestępców znaleźli się naukowcy i analitycy powiązani z organizacjami badawczymi w Belgii, Francji, Gazie, Izraelu, Wielkiej Brytanii i Stanach Zjednoczonych.
Nowe taktyki
Zdaniem Microsoftu, w ramach kampanii obserwować można nowe taktyki, których do tej pory APT35 nie wykorzystywał. Jedną z nich jest użycie do rozsyłania złośliwych załączników autentycznych kont e-mail, których bezpieczeństwo naruszono – nie zaś spreparowanych specjalnie na potrzeby kampanii.
Socjotechnika istotnie jest zaawansowana – pierwszy kontakt z cyberprzestępcami polega na tym, że podszywają się oni pod ważne z punktu widzenia pracy analityka osoby, takie jak np. dziennikarze szanowanych redakcji. W mailu zawarta jest prośba o udzielenie komentarza prasowego i zazwyczaj nie ma tam złośliwego załącznika – bo to mail, którego celem jest budowa zaufania u ofiary i nawiązanie z nią kontaktu. W treści korespondencji może być też zawarta prośba o odniesienie się do treści dokumentu, którego przesłanie zapowiadane jest na kolejny list.
To właśnie w tym momencie właśnie ofiara zostaje „złowiona” – drugi mail, w którym znajduje się link prowadzący do archiwum RAR ze złośliwymi plikami, to już właściwy atak, w ramach którego pobierane jest oprogramowanie wykradające dane.
Na swoim blogu koncern Microsoft podkreślił, że z perspektywy ofiar kampania jest bardzo trudna do wykrycia, bo cyberprzestępcy działający w ramach APT32 są cierpliwi i mają wysokie umiejętności socjotechniczne. Pozwala to na taką realizację działań, aby nie cechowały ich tradycyjnie wskazywane znaki rozpoznawcze fałszywych maili czy oszustw internetowych – a zatem na uśpienie czujności atakowanych osób.