Národné centrum kyber ochrana Veľkej Británie (NCSC) hlási pravidelné kybernetické útoky hackerov z Ruska a Iránu.
Podľa expertnej správy používajú hackerské skupiny SEABORGIUM (alias Callisto Group/TA446/COLDRIVER/TAG-53) a TA453 (alias APT42/Charming Kitten/Yellow Garuda/ITG18) cielené techniky phishingu na útoky na inštitúcie a súkromné osoby za účelom zbieranie informácií.
Hoci tieto dve skupiny nie sú v súhre, nejako sú od seba oddelené útok rovnaké typy organizácií, medzi ktoré vlani patrili štátne orgány, mimovládne organizácie, organizácie v rezorte obrany a školstva, ale aj jednotlivci ako politici, novinári a aktivisti.
Cielený phishing je takpovediac sofistikovaná technika phishing, keď sa útočník zameria na konkrétnu osobu a predstiera, že má informácie, ktoré ich obeť obzvlášť zaujímajú. V prípade SEABORGIUM a TA453 sa o to uisťujú skúmaním voľne dostupných zdrojov, aby sa dozvedeli o svojom cieli.
Obe skupiny si vytvárali falošné profily na sociálnych sieťach a vydávali sa za známych obetí či odborníkov vo svojom odbore a novinárov. Na začiatku je zvyčajne neškodný kontakt, keď sa SEABORGIUM a TA453 snažia vybudovať vzťah so svojou obeťou, aby si získali ich dôveru. Odborníci poznamenávajú, že to môže trvať dlhú dobu. Hackeri potom pošlú škodlivý odkaz, vložia ho do e-mailu alebo do zdieľaného dokumentu Microsoft One Drive alebo Google Drive.
V centre kyber ochrana uviedli, že „v jednom prípade [TA453] dokonca zorganizovala volanie zoom, aby počas hovoru zdieľala škodlivú adresu URL v rozhovore.“ Hlásené bolo aj použitie viacerých falošných identít v jednom phishingovom útoku na zvýšenie dôveryhodnosti.
Sledovaním odkazov sa obeť zvyčajne dostane na falošnú prihlasovaciu stránku ovládanú útočníkmi a po zadaní prihlasovacích údajov je napadnutá. Hackeri potom vstupujú do e-mailových schránok svojich obetí, aby ukradli e-maily, prílohy a presmerovali prichádzajúce e-maily na ich účty. Okrem toho použijú kontakty uložené v napadnutom e-maile na nájdenie nových obetí v následných útokoch a začnú proces odznova.
Hackeri z oboch skupín používajú účty od bežných poskytovateľov e-mailu na vytvorenie falošných ID pri prvej interakcii s cieľom. Vytvorili tiež falošné domény pre zdanlivo legitímne organizácie. Spoločnosť z kyber ochrana Spoločnosť Proofpoint, ktorá sleduje iránsku skupinu TA2020 od roku 453, do značnej miery opakuje zistenia NCSC: „Kampane [TA453] môžu začať týždňami priateľských rozhovorov s účtami vytvorenými hackermi pred pokusom o hacknutie.“ Poznamenali tiež, že medzi ďalšie ciele skupiny patrili medicínski výskumníci, letecký inžinier, realitný agent a cestovné kancelárie.
Okrem toho spoločnosť vydala nasledujúce varovanie: „Výskumníci pracujúci na otázkach medzinárodnej bezpečnosti, najmä tí, ktorí sa špecializujú na Blízky východ alebo štúdie jadrovej bezpečnosti, by mali byť pri prijímaní nevyžiadaných e-mailov ostražití. Napríklad odborníci, ktorých kontaktujú novinári, by mali skontrolovať webovú stránku publikácie, aby sa uistili, že e-mailová adresa patrí legitímnemu reportérovi.“
Tiež zaujímavé: