W okresie świąteczno-noworocznym irańscy hakerzy prowadzili szeroko zakrojoną kampanię szpiegowską, podczas której wykorzystano phishing do kradzieży danych. Operacja była wymierzona w użytkowników z krajów Zatoki Perskiej, Europy oraz Stanów Zjednoczonych.
Za kampanię odpowiada grupa Charming Kitten (znana również jako Phosphorus oraz APT35) działająca na rzecz Teheranu i przez niego wspierana – wskazano w raporcie „Charming Kitten’s Christmas Gift”, opracowanym przez CERTFA.
Okres świąteczny to okazja dla hakerów. Wynika to z faktu nie tylko zwiększonej aktywności użytkowników w sieci, którzy m.in. dokonują zakupów prezentów online, ale również zamknięcia wielu firm, organizacji i instytucji. To z kolei przyczynia się do sytuacji ograniczonej możliwości szybkiej reakcji na incydenty, a następnie ich neutralizacji, ponieważ personel IT w wielu prywatnych podmiotach spędza ten czas na urlopie. „Charming Kitten w pełni wykorzystał ten moment, aby przeprowadzić nową operację z maksymalnym efektem” – stwierdzili specjaliści CERTFA.
Kto był celem? Zgodnie z raportem hakerzy wymierzyli swoje działania przede wszystkim w konta internetowe pojedynczych użytkowników, w tym w szczególności ich prywatne e-maile (Gmail, Yahoo! i Outlook) oraz firmowe (domeny danej instytucji np. uniwersytetu). Sprawa dotyczy głównie członków think tanków, ośrodków badań politycznych, profesorów uniwersytetów, dziennikarzy i działaczy na rzecz środowiska w krajach Zatoki Perskiej, Europy i USA. Według ekspertów jest to kontynuacja kampanii, która rozpoczęła się w trzecim kwartale 2020 roku.
Analiza przeprowadzona przez specjalistów pokazała, że hakerzy używali dwóch podstawowych metod działania: wysyłania fałszywych wiadomości SMS oraz fikcyjnych e-maili.
Korzystając z tych dwóch metod, napastnicy starają się nie zostawiać po sobie żadnych śladów i nawet po uzyskaniu dostępu do kont swoich ofiar, nie blokują im dostępu do przejętych kont
SMS i e-mail. Prosta metoda phishingu
Do użytkowników będących celem Charming Kitten trafiały wiadomości SMS, których treść dotyczyła procedury odzyskiwania hasła do konta Google. Imitują one komunikaty wysyłane przez amerykańskiego giganta w przypadku zapomnienia danych logowania lub ich zmiany. SMS nakłaniał ofiary do kliknięcia w podany link, aby potwierdzić tożsamość. Na co zwracają uwagę eksperci, struktura linku „hxxps: //www.google [.] Com / url? Q” na pierwszy rzut oka wydawała się wiarygodna, lecz w rzeczywistości przekierowywał on użytkowników na strony phishingowe.
W drugiej opcji irańscy hakerzy rozsyłali fałszywe e-maile z popularnymi w czasie świąt sloganami, takimi jak „Wesołych Świąt!” lub „Noworoczne pozdrowienia”. W raporcie CERTFA przytoczono treść jednej z wiadomości phishingowych. Brzmiała ona następująco: „W tym roku postanowiłem uszczęśliwić moich przyjaciół moją ostatnią książką. Oto mój specjalny prezent bożonarodzeniowy dla Ciebie”. Poniżej tekstu znajdował się link, przypominający swoją strukturą odnośnik do pliku, który miałby rzekomo pochodzić z chmury Google. Tak naprawdę przenosił użytkowników do zainfekowanych witryn.
Kliknięcie w złośliwy załącznik prowadziło do jednego – hakerzy przejmowali dane uwierzytelniające ofiar, a następnie wykradali poufne informacje na ich temat.
Grupa Charming Kitten wykorzystywała podczas operacji wiele fałszywych domen służących m.in. do kierowania reklam na liczne serwisy internetowe w ramach różnych usług. Głównym celem kampanii były takie platformy jak Gmail, Yahoo! i Outlook, jednak specjaliści zauważyli również wysokie zainteresowanie irańskich hakerów innymi witrynami, w tym Planet.com i PlanetObserver.com.