Εθνικό Κέντρο κυβερνασφάλεια της Μεγάλης Βρετανίας (NCSC) αναφέρει τακτικές επιθέσεις στον κυβερνοχώρο που πραγματοποιούνται από χάκερ από τη Ρωσία και το Ιράν.
Σύμφωνα με την έκθεση εμπειρογνωμόνων, οι ομάδες χάκερ SEABORGIUM (γνωστός και ως Callisto Group/TA446/COLDRIVER/TAG-53) και TA453 (γνωστός και ως APT42/Charming Kitten/Yellow Garuda/ITG18) χρησιμοποιούν στοχευμένες τεχνικές phishing για να επιτεθούν σε ιδρύματα και ιδιώτες με σκοπό την συλλογή πληροφοριών.
Αν και αυτές οι δύο ομάδες δεν βρίσκονται σε σύγκρουση, κατά κάποιο τρόπο τυχαίνει να είναι ξεχωριστές η μία από την άλλη επίθεση τους ίδιους τύπους οργανώσεων, που πέρυσι περιελάμβαναν κυβερνητικούς φορείς, μη κυβερνητικές οργανώσεις, οργανώσεις στον τομέα της άμυνας και της εκπαίδευσης, καθώς και άτομα όπως πολιτικούς, δημοσιογράφους και ακτιβιστές.
Το στοχευμένο ηλεκτρονικό ψάρεμα είναι, θα λέγαμε, μια πολύπλοκη τεχνική phishing, όταν ένας εισβολέας στοχεύει ένα συγκεκριμένο άτομο και προσποιείται ότι έχει πληροφορίες που έχουν ιδιαίτερο ενδιαφέρον για το θύμα του. Στην περίπτωση του SEABORGIUM και του TA453, το διασφαλίζουν αυτό εξερευνώντας ελεύθερα διαθέσιμους πόρους για να μάθουν για τον στόχο τους.
Και οι δύο ομάδες δημιούργησαν ψεύτικα προφίλ στα μέσα κοινωνικής δικτύωσης και προσποιήθηκαν ότι ήταν γνωστοί των θυμάτων ή ειδικοί στον τομέα τους και δημοσιογράφοι. Συνήθως υπάρχει ακίνδυνη επαφή στην αρχή καθώς το SEABORGIUM και το TA453 προσπαθούν να οικοδομήσουν μια σχέση με το θύμα τους για να κερδίσουν την εμπιστοσύνη τους. Οι ειδικοί σημειώνουν ότι αυτό μπορεί να διαρκέσει για μεγάλο χρονικό διάστημα. Στη συνέχεια, οι χάκερ στέλνουν έναν κακόβουλο σύνδεσμο, τον ενσωματώνουν σε ένα email ή σε ένα κοινόχρηστο έγγραφο Microsoft One Drive ή Google Drive.
Στο κέντρο κυβερνασφάλεια ανέφερε ότι "σε μία περίπτωση ο [TA453] κανόνισε ακόμη και μια κλήση Zoom για να μοιραστεί μια κακόβουλη διεύθυνση URL στη συνομιλία κατά τη διάρκεια της κλήσης." Έχει επίσης αναφερθεί η χρήση πολλαπλών ψεύτικων ταυτοτήτων σε μία επίθεση phishing για την αύξηση της πιστότητας.
Ακολουθώντας τους συνδέσμους συνήθως μεταφέρεται το θύμα σε μια ψεύτικη σελίδα σύνδεσης που ελέγχεται από τους εισβολείς και αφού εισαγάγουν τα διαπιστευτήριά του, τυγχάνει χακαρίσματος. Στη συνέχεια, οι χάκερ έχουν πρόσβαση στα εισερχόμενα email των θυμάτων τους για να κλέψουν email, συνημμένα και να ανακατευθύνουν τα εισερχόμενα email στους λογαριασμούς τους. Επιπλέον, χρησιμοποιούν τις αποθηκευμένες επαφές στο παραβιασμένο email για να βρουν νέα θύματα σε επόμενες επιθέσεις και να ξεκινήσουν τη διαδικασία από την αρχή.
Οι χάκερ και από τις δύο ομάδες χρησιμοποιούν λογαριασμούς από κοινούς παρόχους email για να δημιουργήσουν πλαστά αναγνωριστικά όταν αλληλεπιδρούν για πρώτη φορά με έναν στόχο. Δημιούργησαν επίσης ψεύτικους τομείς για φαινομενικά νόμιμους οργανισμούς. Εταιρεία από κυβερνασφάλεια Η Proofpoint, η οποία παρακολουθεί την ομάδα TA2020 του Ιράν από το 453, απηχεί σε μεγάλο βαθμό τα ευρήματα του NCSC: «Οι καμπάνιες [TA453] μπορούν να ξεκινήσουν με εβδομάδες φιλικών συνομιλιών με λογαριασμούς που έχουν δημιουργηθεί από χάκερ πριν επιχειρήσουν να πειραχτούν». Σημείωσαν επίσης ότι οι άλλοι στόχοι της ομάδας περιελάμβαναν ιατρικούς ερευνητές, έναν μηχανικό αεροδιαστημικής, έναν κτηματομεσίτη και ταξιδιωτικά γραφεία.
Επιπλέον, η εταιρεία εξέδωσε την ακόλουθη προειδοποίηση: «Οι ερευνητές που εργάζονται σε θέματα διεθνούς ασφάλειας, ειδικά όσοι ειδικεύονται σε μελέτες στη Μέση Ανατολή ή στην πυρηνική ασφάλεια, θα πρέπει να επιδεικνύουν αυξημένη επαγρύπνηση όταν λαμβάνουν ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου. Για παράδειγμα, οι ειδικοί με τους οποίους έρχονται σε επαφή δημοσιογράφοι θα πρέπει να ελέγχουν τον ιστότοπο της δημοσίευσης για να βεβαιωθούν ότι η διεύθυνση ηλεκτρονικού ταχυδρομείου ανήκει σε έναν νόμιμο ρεπόρτερ».
Επίσης ενδιαφέρον: