Nemzeti Központ kiberbiztonság Nagy-Britannia (NCSC) rendszeres kibertámadásokról számol be, amelyeket oroszországi és iráni hackerek hajtanak végre.
A szakértői jelentés szerint a SEABORGIUM (más néven Callisto Group/TA446/COLDRIVER/TAG-53) és TA453 (más néven APT42/Charming Kitten/Yellow Garuda/ITG18) hackercsoportok célzott adathalász technikákat használnak intézmények és magánszemélyek megtámadására abból a célból, hogy információgyűjtés.
Noha ez a két csoport nincs összevissza, valahogy mégis elkülönülnek egymástól támadás azonos típusú szervezetek, amelyekben tavaly kormányzati szervek, civil szervezetek, védelmi és oktatási szektor szervezetei, valamint magánszemélyek, például politikusok, újságírók és aktivisták voltak.
A célzott adathalászat úgymond kifinomult technika adathalászat, amikor a támadó egy adott személyt céloz meg, és úgy tesz, mintha áldozata számára különösen érdekes információkkal rendelkezik. A SEABORGIUM és a TA453 esetében a szabadon elérhető források feltárásával biztosítják a célpontjuk megismerését.
Mindkét csoport hamis profilokat hozott létre a közösségi médiában, és úgy adták ki magukat, mintha az áldozatok ismerősei, vagy szakterületük szakértői és újságírók lennének. Eleinte általában ártalmatlan érintkezés történik, amikor a SEABORGIUM és a TA453 megpróbál kapcsolatot építeni áldozatával, hogy elnyerje a bizalmát. A szakértők megjegyzik, hogy ez hosszú ideig tarthat. A hackerek ezután rosszindulatú linket küldenek, beágyazzák azt e-mailbe vagy megosztott dokumentumba a címre Microsoft One Drive vagy Google Drive.
A központban kiberbiztonság arról számolt be, hogy "egy esetben [TA453] még egy Zoom-hívást is szervezett, hogy a hívás közben megosszon egy rosszindulatú URL-t a chatben." Egyetlen adathalász támadás során több hamis személyazonosságot is beszámoltak a hitelesség növelése érdekében.
A linkek követése általában a támadók által ellenőrzött hamis bejelentkezési oldalra viszi az áldozatot, és a hitelesítő adatainak megadása után feltörik. A hackerek ezután hozzáférnek áldozataik e-mail postaládájához, hogy ellopják az e-maileket, mellékleteket, és átirányítsák a bejövő e-maileket a fiókjukba. Ezenkívül a feltört e-mailben mentett névjegyeket használják fel arra, hogy új áldozatokat találjanak a következő támadásokban, és kezdjék elölről a folyamatot.
Mindkét csoport hackerei a szokásos e-mail-szolgáltatók fiókjait használják hamis azonosítók létrehozására, amikor először lépnek kapcsolatba egy célponttal. Hamis domaineket is létrehoztak a látszólag legitim szervezetek számára. Vállalattól kiberbiztonság A Proofpoint, amely 2020 óta nyomon követi az iráni TA453 csoportot, nagyrészt megismétli az NCSC megállapításait: "A [TA453] kampányok hetekig tartó baráti beszélgetésekkel kezdődhetnek hackerek által létrehozott fiókokkal, mielőtt megpróbálnák feltörni." Azt is megjegyezték, hogy a csoport további célpontjai között szerepelnek orvoskutatók, repülőgép-mérnökök, ingatlanügynökök és utazási irodák is.
Emellett a cég a következő figyelmeztetést is kiadta: „A nemzetközi biztonsági kérdésekkel foglalkozó kutatóknak, különösen a közel-keleti vagy nukleáris biztonsági tanulmányokra szakosodott kutatóknak fokozott éberséggel kell eljárniuk, amikor kéretlen e-maileket kapnak. Például az újságírók által megkeresett szakértőknek ellenőrizniük kell a kiadvány webhelyét, hogy megbizonyosodjanak arról, hogy az e-mail cím egy törvényes riporterhez tartozik."
Szintén érdekes: