Cyberbezpieczeństwo

Irańska grupa hakerów atakuje skrzynki pocztowe. Pobiera ich zawartość

Fot. AP Photo/Vahid Salemi

Zespół Google zajmujący się analizą cyberzagrożeń informuje o namierzeniu irańskiej grupy cyberprzestępczej, która stosuje narzędzie pobierające treści ze skrzynek pocztowych Gmail, Yahoo czy Outlook.

Zespół Google TAG (Threat Analysis Group) w swoim najnowszym opracowaniu przestrzega przed irańską grupą hakerską Charming Kitten (ang. Czarujący Kociak), która ma być wspierana przez tamtejszy rząd. Znana jest także jako APT35. Ma teraz używać nowatorskiego narzędzia „Hyperscrape”. Zdaniem ekspertów, to jedna z głównych organizacji cyberprzestępczych, która prawdopodobnie może działać pod nadzorem służby wywiadu wojskowego Iranu.

„Hyperscrape” miał umożliwić grupie kradzież danych użytkowników z kont pocztowych Gmail, Yahoo i Microsoft Outlook, a także pobieranie ich zawartości przy użyciu wcześniej przejętych danych uwierzytelniających.

Narzędzie ma być nadal rozwijane, do pierwszych prób pobierania danych z poczty mailowej miało dochodzić już w 2020 roku.

Zespół TAG miał zabezpieczyć zagrożone konta i powiadomić ofiary, że stały się celem hakerów wspieranych przez rząd. Ataki miały być głównie wycelowane w „użytkowników wysokiego ryzyka”. Narzędzie ma wymagać poświadczenia wykradzionego wcześniej przez atakujących, a po zalogowaniu zmienia ustawienia językowe konta na angielski. Pobiera wiadomości jako pliki i oznacza je jako nieprzeczytane. Następnie przywraca język skrzynki pocztowej do oryginalnych ustawień i usuwa wszelkie wiadomości mailowe, dotyczące bezpieczeństwa od Google (w kwestii np. zabezpieczenia konta, świadczące o próbach włamania).

Czytaj też

Kim są cyberprzestępcy z grupy Charming Kitten?

Grupa znana jako „Czarujący Kociak” lub APT35 przez wiele lat prowadziła już działania szpiegowskie, które miały być „ zgodne z interesami irańskiego rządu ”. Między innymi stać miała za aplikacją VPN z zainfekowanym oprogramowaniem, którą umieściła w sklepie Google Play.

Włamała się także na stronę jednego z wydziałów Uniwersytetu Londyńskiego, by mogła posłużyć do phishingu. Prawdopodobnie stała też za atakami ransomware, przeprowadzanymi jesienią 2021 roku. Swoją działalność opiera na złośliwym oprogramowaniu i działaniu szpiegowskim na rzecz rządu irańskiego.

Czytaj też

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Komentarze

    Czytaj także