Nationalt Center cybersikkerhed of Great Britain (NCSC) rapporterer regelmæssige cyberangreb udført af hackere fra Rusland og Iran.
Ifølge ekspertrapporten bruger hackergrupper SEABORGIUM (alias Callisto Group/TA446/COLDRIVER/TAG-53) og TA453 (alias APT42/Charming Kitten/Yellow Garuda/ITG18) målrettede phishing-teknikker til at angribe institutioner og privatpersoner med det formål at indsamle oplysninger.
Selvom disse to grupper ikke er i ledtog, er de på en eller anden måde adskilt fra hinanden angreb de samme typer organisationer, som sidste år omfattede statslige organer, ikke-statslige organisationer, organisationer i forsvars- og uddannelsessektoren samt enkeltpersoner som politikere, journalister og aktivister.
Målrettet phishing er så at sige en sofistikeret teknik phishing, når en angriber angriber en bestemt person og foregiver at have oplysninger af særlig interesse for deres offer. I tilfældet med SEABORGIUM og TA453 sørger de for dette ved at udforske frit tilgængelige ressourcer for at lære om deres mål.
Begge grupper oprettede falske profiler på sociale medier og udgav sig for at være bekendte med ofrene eller eksperter inden for deres felt og journalister. Der er normalt harmløs kontakt i starten, da SEABORGIUM og TA453 forsøger at opbygge et forhold til deres offer for at vinde deres tillid. Eksperter bemærker, at dette kan vare i en lang periode. Hackere sender derefter et ondsindet link, indlejrer det i en e-mail eller i et delt dokument til Microsoft One Drive eller Google Drive.
I centrum cybersikkerhed rapporterede, at "i ét tilfælde arrangerede [TA453] endda et Zoom-opkald for at dele en ondsindet URL i chatten under opkaldet." Brugen af flere falske identiteter i et enkelt phishing-angreb for at øge troværdigheden er også blevet rapporteret.
At følge linkene fører normalt offeret til en falsk login-side, der kontrolleres af angriberne, og efter at have indtastet deres legitimationsoplysninger, bliver de hacket. Hackere får derefter adgang til deres ofres e-mail-indbakker for at stjæle e-mails, vedhæftede filer og omdirigere indgående e-mails til deres konti. Derudover bruger de de gemte kontakter i den kompromitterede e-mail til at finde nye ofre i efterfølgende angreb og starte processen forfra.
Hackere fra begge grupper bruger konti fra almindelige e-mail-udbydere til at oprette falske id'er, når de først interagerer med et mål. De skabte også falske domæner for tilsyneladende legitime organisationer. Selskab fra cybersikkerhed Proofpoint, som har sporet Irans TA2020-gruppe siden 453, gentager stort set NCSC's resultater: "[TA453]-kampagner kan begynde med ugers venlige samtaler med hacker-oprettede konti, før de forsøger at hacke." De bemærkede også, at gruppens andre mål omfattede medicinske forskere, en rumfartsingeniør, en ejendomsmægler og rejsebureauer.
Derudover udsendte firmaet følgende advarsel: "Forskere, der arbejder med internationale sikkerhedsspørgsmål, især dem med speciale i Mellemøsten eller nuklear sikkerhedsundersøgelser, bør udvise øget årvågenhed, når de modtager uopfordrede e-mails. For eksempel bør eksperter, der kontaktes af journalister, tjekke publikationens hjemmeside for at sikre, at e-mailadressen tilhører en legitim journalist."
Også interessant: