Як повідомила google, група іранських хакерів, яка намагалася вторгатися в минулорічну кампанію президентських виборів в сша, продовжує проводити широкомасштабні атаки, постійно змінюючи тактики, щоб обманом змусити жертв переходити по шкідливим посиланнях.
Джерело: freepik.com
Ця група хакерів відома під різними назвами: apt35, phosphorous, charming kitten і ajax security. Протягом декількох років, стверджує google, вона ” захоплювала облікові записи, розгортала шкідливе пз, а також застосовувала передові техніки для ведення шпигунства в інтересах іранського уряду». Цілями apt35 є облікові записи державних відомств, журналістів, некомерційних організацій, відомств у зовнішній політиці та національній безпеці — всіх, хто відіграє якусь роль у формуванні думок міжнародного співтовариства щодо ірану.
Один із прийомів, які група використовує з 2017 року, — це злом веб-сайтів, завдяки якому жертв стає простіше переконати переходити за фішинговими посиланнями. На початку 2021 року apt35 надіслав повідомлення електронною поштою з посиланнями на підроблений веб-сайт, де користувачам було запропоновано активувати запрошення на веб-семінар, увійшовши в систему, і це була спроба зібрати облікові дані з облікових записів gmail та yahoo!. У липні 2021 року, прикриваючись авторитетом лондонської школи сходознавства і африканістики (soas), хакери зареєстрували кілька облікових записів gmail і створили підроблений сайт, видаючи себе за вчених, щоб збирати дані від людей, які були їх цілями. Фіктивний ресурс при цьому був пов’язаний не з самим навчальним закладом, а з його підрозділами — радіостанцією і виробничою компанією.
Джерело: freepik.com
Минулого року apt35 спробувала завантажити шпигунське додаток в google play store, замаскувавши його під vpn-клієнт. В реальності додаток збирало конфіденційну інформацію: журнали викликів, текстові повідомлення і дані про місцезнаходження пристрою. Google виявила його і встигла видалити ще до того, як люди почали його встановлювати. У липні 2021 року група стала націлюватися і на інші платформи. Хакери також видавали себе за організаторів конференцій munich security і think – 20 italy — спочатку вони відправляли потенційним жертвам нешкідливі листи, потім вступали з ними в листування, в ході якої надсилали фішингові посилання.
Шейн хантлі (shane huntley), директор підрозділу google з питань кібербезпеки threat analysis group, заявив, що, незважаючи на широкі масштаби атак, ймовірність успіху apt35 знижується в міру того, як google більше дізнається про цю кампанію.
