Kansallinen keskus Kyberturvallisuus Iso-Britannian (NCSC) raportoi säännöllisistä kyberhyökkäyksistä, joita hakkerit ovat suorittaneet Venäjältä ja Iranista.
Asiantuntijaraportin mukaan hakkeriryhmät SEABORGIUM (alias Callisto Group/TA446/COLDRIVER/TAG-53) ja TA453 (alias APT42/Charming Kitten/Yellow Garuda/ITG18) käyttävät kohdistettuja tietojenkalastelutekniikoita hyökätäkseen instituutioita ja yksityishenkilöitä vastaan. tiedon kerääminen.
Vaikka nämä kaksi ryhmää eivät ole kahootissa, ne sattuvat jotenkin olemaan erillään toisistaan hyökkäys samantyyppisiä järjestöjä, joihin viime vuonna kuului valtion elimiä, kansalaisjärjestöjä, puolustus- ja koulutusalan järjestöjä sekä yksityishenkilöitä, kuten poliitikkoja, toimittajia ja aktivisteja.
Kohdennettu tietojenkalastelu on niin sanotusti hienostunut tekniikka phishing, kun hyökkääjä kohdistaa kohteen tiettyyn henkilöön ja teeskentelee saavansa uhriaan erityisen kiinnostavia tietoja. SEABORGIUMin ja TA453:n tapauksessa he varmistavat tämän tutkimalla vapaasti saatavilla olevia resursseja saadakseen tietoa tavoitteestaan.
Molemmat ryhmät loivat valeprofiileja sosiaalisessa mediassa ja teeskentelivät olevansa uhrien tuttuja tai alansa asiantuntijoita ja toimittajia. Aluksi syntyy yleensä harmiton kontakti, kun SEABORGIUM ja TA453 yrittävät rakentaa suhdetta uhriinsa saadakseen heidän luottamuksensa. Asiantuntijat huomauttavat, että tämä voi kestää pitkään. Hakkerit lähettävät sitten haitallisen linkin, upottavat sen sähköpostiin tai jaettuun asiakirjaan osoitteeseen Microsoft One Drive tai Google Drive.
Keskustassa Kyberturvallisuus kertoi, että "yhdessä tapauksessa [TA453] jopa järjesti Zoom-puhelun jakaakseen haitallisen URL-osoitteen chatissa puhelun aikana." On myös raportoitu useiden väärennettyjen henkilöllisyyksien käyttämisestä yhdessä tietojenkalasteluhyökkäyksessä uskottavuuden lisäämiseksi.
Linkkien seuraaminen vie uhrin yleensä hyökkääjien hallitsemalle väärennetylle kirjautumissivulle, ja hänen tunnistetietonsa syöttämisen jälkeen hänet hakkeroidaan. Hakkerit pääsevät sitten uhrien sähköpostilaatikoihin varastaakseen sähköposteja, liitteitä ja ohjatakseen saapuvia sähköposteja heidän tileilleen. Lisäksi he käyttävät vaarantuneen sähköpostin tallennettuja yhteystietoja löytääkseen uusia uhreja myöhemmissä hyökkäyksissä ja aloittaakseen prosessin alusta.
Molempien ryhmien hakkerit käyttävät tavallisten sähköpostipalveluntarjoajien tilejä väärennettyjen tunnuksien luomiseen, kun he ovat ensimmäisen kerran vuorovaikutuksessa kohteen kanssa. He loivat myös väärennettyjä verkkotunnuksia näennäisesti laillisille organisaatioille. Yritys alkaen Kyberturvallisuus Proofpoint, joka on seurannut Iranin TA2020-ryhmää vuodesta 453 lähtien, toistaa suurelta osin NCSC:n havaintoja: "[TA453] -kampanjat voivat alkaa viikkoja kestävillä ystävällisillä keskusteluilla hakkereiden luomien tilien kanssa ennen hakkerointia." He totesivat myös, että ryhmän muita kohteita olivat lääketieteen tutkijat, ilmailu-insinööri, kiinteistönvälittäjä ja matkatoimistot.
Lisäksi yritys antoi seuraavan varoituksen: ”Kansainvälisten turvallisuusasioiden parissa työskentelevien tutkijoiden, erityisesti Lähi-itään tai ydinturvallisuustutkimuksiin erikoistuneiden, tulee olla erityisen valppaina vastaanottaessaan ei-toivottuja sähköposteja. Esimerkiksi asiantuntijoiden, joihin toimittajat ovat ottaneet yhteyttä, tulisi tarkistaa julkaisun verkkosivustolta, että sähköpostiosoite kuuluu lailliselle toimittajalle."
Mielenkiintoista myös: