Иранские хакеры атаковали американских военных через Facebook

Иранские хакеры атаковали американских военных через Facebook

Alexander Antipov

Киберпреступная группировка Tortoiseshell расширила свои кибершпионские операции.

image

Связываемая с Ираном киберпреступная группировка Tortoiseshell расширила свой список жертв, добавив в него представителей новых сфер деятельности из разных стран.

По данным специалистов Facebook, в последнее время Tortoiseshell атакует военных, а также оборонные и авиакосмические организации преимущественно в США. Кроме того, хакеры (хотя и в меньшей степени) атакуют жертв в Великобритании и Европе, что свидетельствует об эскалации их кибершпионских операций.

Активная с 2018 года группировка Tortoiseshell ранее атаковала IT-организации в странах Среднего Востока, в основном в Саудовской Аравии, с помощью бэкдора Syskit, собирающего со скомпрометированного компьютера различную информацию и отправляющего ее на подконтрольный злоумышленникам C&C-сервер.

В 2019 году компания Cisco Talos раскрыла проводимую Tortoiseshell вредоносную кампанию против военных ветеранов в США с использованием Syskit. Хакеры развернули поддельные сайты, якобы помогающие ветеранам в поисках работы, но на самом деле заражал их устройства шпионским и другим вредоносным ПО.

Теперь же специалисты Facebook сообщили о принятых мерах против аналогичных атак против иранской киберпреступной группировки, которая с помощью соцсети Facebook обманом заставляла жертв загружать вредоносное ПО. Кампания была нацелена на пользователей в США и частично в Великобритании и Европе.

Наблюдаемая Facebook активность была частью более обширной межплатформенной кибершпионской операции, в которой соцсеть использовалась только в рамках социальной инженерии, а не для прямой доставки вредоносного ПО. Затем жертвы заманивались за пределы платформы для заражения.

В рамках вредоносной операции хакеры Tortoiseshell зарегистрировали поддельные профили на различных платформах, через которые связывались с нужными лицами и обманным образом заставляли их нажать на вредоносные ссылки. Злоумышленники использовали разные платформы и в некоторых случаях «обрабатывали» жертву в течение нескольких месяцев.

Хакеры выдавали себя за рекрутеров и сотрудников оборонных и авиакосмических предприятий, журналистов, представителей некоммерческих организаций, а также гостиничного бизнеса, учреждений здравоохранения и авиакомпаний.

Группировка использует кастомные вредоносные программы, в том числе трояны для удаленного доступа, инструменты для сбора разведданных, кейлоггеры и модифицированные версии Syskit. Разработчиком одного из инструментов предположительно является тегеранская IT-компания Mahak Rayan Afraz (MRA), связанная с Корпусом стражей исламской революции.

на нашем Телеграм канале мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.


Источник: Securitylab