Российские и иранские хакеры атакуют политиков и журналистов
Share
Национальный центр кибербезопасности (NCSC). (Фото Карла Корта/Getty Images)
Гетти Изображений
Связанные с государством хакеры в России и Иране преследуют политиков, журналистов и других лиц в Великобритании и других странах с помощью «изощренной» кампании целевого фишинга.
Национальный центр кибербезопасности Великобритании (NCSC) определил две хакерские группы — российскую Seaborgium и иранскую TA453 — в качестве виновных и выпустил предупреждение для оборонных организаций, СМИ и правительства, чтобы они не переходили по вредоносным ссылкам.
«Эти кампании злоумышленников, базирующихся в России и Иране, продолжают безжалостно преследовать свои цели, пытаясь украсть учетные данные в Интернете и скомпрометировать потенциально конфиденциальные системы», — говорит операционный директор NCSC Пол Чичестер.
«Мы настоятельно рекомендуем организациям и отдельным лицам сохранять бдительность в отношении потенциальных подходов и следовать рекомендациям по смягчению последствий, содержащимся в бюллетене, чтобы защитить себя в Интернете».
Хотя эти две группы были активны в течение некоторого времени, считается, что они значительно активизировали свои операции после вторжения России в Украину, преследуя людей в США и других странах, а также в Великобритании.
И они прилагают некоторые усилия, чтобы сделать это, поскольку NCSC описывает кампанию как особенно тщательно продуманную и изощренную.
Группы подробно изучают свои цели, выявляя их контакты, а затем подделывая социальные сети или сетевые профили, чтобы выдавать себя за уважаемых экспертов, создавая поддельные приглашения на конференции или мероприятия и подделывая подходы журналистов.
«И Seaborgium, и TA453 используют адреса веб-почты от разных провайдеров (включая Outlook, Gmail и Yahoo) в своем первоначальном подходе, выдавая себя за известные контакты цели или выдающиеся имена в сфере интересов или секторе цели», — говорится в сообщении NCSC.
«Актеры также создали вредоносные домены, напоминающие законные организации, чтобы они выглядели подлинными».
NCSC говорит, что, как правило, целью являются личные учетные записи электронной почты жертв, а не их официальные рабочие учетные записи. Это, по его словам, не только обходит любые меры безопасности, но также означает, что жертва с меньшей вероятностью будет начеку.
После установления отношений со своей целью группы делятся вредоносными ссылками, часто в виде URL-адреса собрания Zoom. В одном примере TA453 настроил вызов Zoom с целью, чтобы поделиться вредоносным URL-адресом в панели чата во время вызова.
Затем учетные данные жертвы изымаются и используются для входа в учетные записи электронной почты целей, где хакеры могут получить доступ и украсть электронные письма и вложения из почтового ящика жертвы. Они также настроили переадресацию почты, что позволило им просматривать текущую переписку, а также получили доступ к данным списка рассылки и спискам контактов жертвы.
Эта информация затем используется для последующего таргетинга и дальнейшей фишинговой активности.
В прошлом году было установлено, что группа Seaborgium, также известная как Cold River и Callisto, нацелилась на три ядерные исследовательские лаборатории в США, а также была обвинена во взломе и утечке электронных писем бывшего директора MI6 Ричарда Дирлава.
Между тем, TA453, также известный как Charming Kitten, был обвинен в нападении на американских политиков и национальные инфраструктурные организации.
«Мы настоятельно рекомендуем целевым организациям и отдельным лицам сохранять бдительность и предпринимать шаги для защиты онлайн-аккаунтов», — предупреждает NCSC, призывая людей быть начеку и использовать надежные пароли и двухфакторную аутентификацию (2FA).
И Иран, и Россия отрицают какую-либо связь с хакерскими группами.
