Nacionalni center Spletna varnost Velike Britanije (NCSC) poroča o rednih kibernetskih napadih, ki jih izvajajo hekerji iz Rusije in Irana.
Po poročilu strokovnjakov hekerski skupini SEABORGIUM (alias Callisto Group/TA446/COLDRIVER/TAG-53) in TA453 (alias APT42/Charming Kitten/Yellow Garuda/ITG18) uporabljata ciljno usmerjene tehnike lažnega predstavljanja za napad na ustanove in zasebne osebe z namenom zbiranje informacij.
Čeprav ti dve skupini nista v dosluhu, sta nekako ločeni druga od druge napad enake vrste organizacij, ki so lani vključevale državne organe, nevladne organizacije, organizacije v obrambnem in izobraževalnem sektorju ter posameznike, kot so politiki, novinarji in aktivisti.
Ciljno lažno predstavljanje je tako rekoč prefinjena tehnika lažno predstavljanje, ko napadalec cilja na določeno osebo in se pretvarja, da ima informacije, ki so še posebej zanimive za njegovo žrtev. V primeru SEABORGIUM in TA453 to zagotovijo z raziskovanjem prosto dostopnih virov, da bi izvedeli več o svojem cilju.
Obe skupini sta ustvarili lažne profile na družbenih omrežjih in se predstavljali za znance žrtev oziroma strokovnjake na svojem področju in novinarje. Sprva običajno pride do neškodljivega stika, ko SEABORGIUM in TA453 poskušata zgraditi odnos z žrtvijo, da bi pridobila njeno zaupanje. Strokovnjaki ugotavljajo, da lahko to traja dlje časa. Hekerji nato pošljejo zlonamerno povezavo, jo vdelajo v e-pošto ali dokument v skupni rabi Microsoft One Drive ali Google Drive.
V središču Spletna varnost je poročal, da je "v enem primeru [TA453] celo uredil klic Zoom, da je med klicem delil zlonamerni URL v klepetu." Poročali so tudi o uporabi več lažnih identitet v enem napadu lažnega predstavljanja za povečanje verodostojnosti.
Sledenje povezavam žrtev običajno pripelje na lažno stran za prijavo, ki jo nadzirajo napadalci, in po vnosu njihovih poverilnic pride do vdora. Hekerji nato dostopajo do e-poštnih predalov svojih žrtev, da ukradejo e-pošto, priloge in preusmerijo dohodno e-pošto na njihove račune. Poleg tega uporabijo shranjene kontakte v ogroženi e-pošti, da najdejo nove žrtve v naslednjih napadih in začnejo postopek znova.
Hekerji iz obeh skupin uporabljajo račune običajnih ponudnikov e-pošte za ustvarjanje lažnih ID-jev, ko prvič komunicirajo s tarčo. Ustvarili so tudi lažne domene za na videz legitimne organizacije. Podjetje iz Spletna varnost Proofpoint, ki od leta 2020 spremlja iransko skupino TA453, v veliki meri ponavlja ugotovitve NCSC: "Kampanje [TA453] se lahko začnejo s tedni prijateljskih pogovorov z računi, ki so jih ustvarili hekerji, preden poskusijo vdreti." Opozorili so tudi, da so druge tarče skupine medicinski raziskovalci, vesoljski inženir, nepremičninski agent in potovalne agencije.
Poleg tega je podjetje izdalo naslednje opozorilo: »Raziskovalci, ki se ukvarjajo z vprašanji mednarodne varnosti, zlasti tisti, ki so specializirani za študije Bližnjega vzhoda ali jedrske varnosti, bi morali biti bolj pozorni, ko prejemajo nezaželeno e-pošto. Na primer, strokovnjaki, s katerimi se obrnejo novinarji, bi morali preveriti spletno stran publikacije in se prepričati, da elektronski naslov pripada zakonitemu novinarju."
Zanimivo tudi:
Pustite Odgovori