Polityka i prawo
„BadBlood” w wykonaniu Iranu. Kierunek działań: Izrael i USA
Hakerzy powiązani z irańskim wojskiem odpowiadają za kampanię phishingową wymierzoną w specjalistów branży medycznej w Stanach Zjednoczonych i Izraelu. Ich głównym celem są osoby zajmujące się genetyką, neurologią i onkologią. Jaki jest cel wrogich działań?
Pod koniec 2020 roku grupa hakerska „Charming Kitten” (znana równie jako TA453) powiązana z Iranem rozpoczęła kampanię phishingową wymierzoną w specjalistów branży medycznej w Stanach Zjednoczonych i Izraelu, którzy specjalizują się w genetyce, neurologii oraz onkologii – wskazują specjaliści Proofpoint w najnowszym raporcie.
Jak wskazują eksperci, „Charming Kitten” jest grupą powiązaną z Korpusem Strażników Rewolucji Islamskiej, specjalizującą się w prowadzeniu operacji ukierunkowanych na polityków, naukowców, dyplomatów i dziennikarzy różnych państw. Najnowsza kampania hakerów została nazwana „BadBlood” i jest odchyleniem od tradycyjnych działań irańskiej grupy. Specjaliści sugerują, że operacja może być związana z wysiłkiem wywiadowczym prowadzonym przez Teheran.
W ramach kampanii członkowie „Charming Kitten” rozsyłali z konta Gmail (zajfman.daniel[@]gmail.com) wiadomości, podszywając się pod wybitnego izraelskiego fizyka. W ich temacie widniał zapis: „Nuclear weapons at a glance: Israel”, a treść odnosiła się do izraelskich możliwości nuklearnych. Analiza e-maili pokazała, że hakerzy sprawnie posługują się technikami socjotechnicznymi, aby skłonić ofiary do interakcji – podkreślają specjaliści Proofpoint.
W raporcie wskazano, że w treści wiadomości znajdowały się załączniki do strony kontrolowanej przez hakerów. Po kliknięciu w link otwierało się okno usługi Microsoft OneDrive wraz z logiem pliku PDF o nazwie „CBP-9075.pdf”. W momencie, gdy użytkownik otworzył dokument na monitorze wyświetlała się witryna logowania Microsoft. W ten sposób członkowie „Charming Kitten” próbowali pozyskiwać dane uwierzytelniające ofiary.
Działania hakerów powiązanych z Iranem były wymierzone w około 25 specjalistów z różnych podmiotów medycznych, zajmujących się badaniami w Stanach Zjednoczonych i Izraelu. Specjalistom Proofpoint udało się ustalić, że wśród celów znajdowały się osoby wykształcone w dziedzinie genetyki, onkologii i neurologii. Zgodnie z treścią raportu kampania phishingowa zbiega się w czasie ze wzrostem napięć geopolitycznych między Iranem a Izraelem.
Ofiary to starsi pracownicy różnych medycznych organizacji badawczych.
Na ten moment ekspertom nie udało się ustalić motywacji hakerów. Jednak najprawdopodobniej głównym celem było zbieranie danych medycznych lub też przygotowanie bazy pod bardziej zaawansowaną cyberoperację.
Skąd wiadomo, że za kampanią stoją hakerzy „Charming Kitten”? Wskazują na to przede wszystkim taktyka i techniki, które są charakterystyczne dla tej grupy, a także wykorzystanie domen przypisanych wcześniej do TA453, o czym świadczą m.in. komponenty infrastruktury sieciowej oraz dokumenty w załącznikach.