Národní centrum kybernetická bezpečnost Velké Británie (NCSC) hlásí pravidelné kybernetické útoky prováděné hackery z Ruska a Íránu.
Podle expertní zprávy používají hackerské skupiny SEABORGIUM (aka Callisto Group/TA446/COLDRIVER/TAG-53) a TA453 (aka APT42/Charming Kitten/Yellow Garuda/ITG18) cílené techniky phishingu k útokům na instituce a soukromé osoby za účelem shromažďování informací.
Ačkoli tyto dvě skupiny nejsou v cahoots, nějakým způsobem jsou od sebe odděleny Záchvat stejné typy organizací, mezi které loni patřily státní orgány, nevládní organizace, organizace v rezortu obrany a školství, ale i jednotlivci, jako jsou politici, novináři a aktivisté.
Cílený phishing je takříkajíc sofistikovaná technika phishing, kdy se útočník zaměří na konkrétní osobu a předstírá, že má informace, které jejich oběť zvlášť zajímají. V případě SEABORGIUM a TA453 se o to ujišťují zkoumáním volně dostupných zdrojů, aby se dozvěděli o svém cíli.
Obě skupiny si vytvářely falešné profily na sociálních sítích a vydávaly se za známé obětí nebo odborníky ve svém oboru a novináře. Zpočátku obvykle dochází k neškodnému kontaktu, protože SEABORGIUM a TA453 se snaží vybudovat vztah se svou obětí, aby si získaly jejich důvěru. Odborníci poznamenávají, že to může trvat dlouhou dobu. Hackeři poté pošlou škodlivý odkaz, vloží jej do e-mailu nebo do sdíleného dokumentu Microsoft One Drive nebo Google Drive.
Ve středu kybernetická bezpečnost uvedl, že "v jednom případě [TA453] dokonce uspořádal hovor Zoom, aby během hovoru sdílel škodlivou adresu URL v chatu." Bylo také hlášeno použití více falešných identit v jediném phishingovém útoku ke zvýšení důvěryhodnosti.
Sledování odkazů obvykle zavede oběť na falešnou přihlašovací stránku ovládanou útočníky a po zadání jejich přihlašovacích údajů je hacknuta. Hackeři pak přistupují k e-mailovým schránkám svých obětí, aby ukradli e-maily, přílohy a přesměrovali příchozí e-maily na jejich účty. Kromě toho využijí kontakty uložené v napadeném e-mailu k nalezení nových obětí v následných útocích a začnou celý proces znovu.
Hackeři z obou skupin používají účty od běžných poskytovatelů e-mailu k vytvoření falešných ID při první interakci s cílem. Vytvářeli také falešné domény pro zdánlivě legitimní organizace. Společnost z kybernetická bezpečnost Proofpoint, který sleduje íránskou skupinu TA2020 od roku 453, do značné míry odpovídá zjištěním NCSC: „Kampaně [TA453] mohou začít týdny přátelských rozhovorů s účty vytvořenými hackery, než se pokusí hacknout.“ Poznamenali také, že mezi další cíle skupiny patří lékařští výzkumníci, letecký inženýr, realitní agent a cestovní kanceláře.
Firma navíc vydala následující varování: „Výzkumní pracovníci zabývající se otázkami mezinárodní bezpečnosti, zejména ti, kteří se specializují na Blízký východ nebo studie jaderné bezpečnosti, by měli při přijímání nevyžádaných e-mailů dbát zvýšené opatrnosti. Odborníci, které kontaktují novináři, by například měli zkontrolovat webovou stránku publikace, aby se ujistili, že e-mailová adresa patří legitimnímu reportérovi.“
Zajímavé také: