Російські та іранські хакери атакують політиків і журналістів
Share
Національний центр кібербезпеки (NCSC). (Фото Карла Корта/Getty Images)
Getty Images
Пов'язані з державою хакери в Росії та Ірані атакували політиків, журналістів та інших осіб у Великій Британії та в інших країнах за допомогою «складної» кампанії з фішингу.
Національний центр кібербезпеки Великої Британії (NCSC) визначив дві хакерські групи – російську Seaborgium та іранську TA453 – як винуватців і випустив попередження, яке попереджає представників оборонних організацій, ЗМІ та уряду про заборону переходу за шкідливими посиланнями.
«Ці кампанії зловмисників, що базуються в Росії та Ірані, продовжують безжально переслідувати свої цілі, намагаючись викрасти онлайн-реєстраційні дані та скомпрометувати потенційно чутливі системи», — каже директор з операцій NCSC Пол Чічестер.
«Ми настійно рекомендуємо організаціям і окремим особам залишатися пильними щодо потенційних підходів і дотримуватися порад щодо пом’якшення наслідків, наведених у пораді, щоб захистити себе в Інтернеті».
Хоча ці дві групи були активними протягом деякого часу, вважається, що вони значно активізували свої операції після вторгнення Росії в Україну, націлюючись на осіб у США та інших країнах, а також у Великобританії.
І вони докладають певних зусиль, щоб це зробити, оскільки NCSC описує кампанію як особливо продуману та витончену.
Групи детально досліджують своїх цілей, ідентифікують їхні контакти, а потім підробляють профілі в соціальних мережах або мережах, щоб видати себе за авторитетних експертів, створюючи підроблені запрошення на конференції чи заходи та підробляючи підходи журналістів.
«І Seaborgium, і TA453 використовують адреси веб-пошти від різних провайдерів (включно з Outlook, Gmail і Yahoo) у своєму початковому підході, видаючи відомі контакти цілі або відомі імена в області інтересів цілі або в секторі», — каже NCSC.
«Актори також створили шкідливі домени, схожі на законні організації, щоб виглядати справжніми».
У NCSC кажуть, що, як незвично, мішенню стають особисті облікові записи електронної пошти жертв, а не їхні офіційні робочі облікові записи. Це, за його словами, не тільки обходить будь-який контроль безпеки, але також означає, що жертва з меншою ймовірністю буде настороженою.
Після налагодження стосунків із цільовою групою групи діляться шкідливими посиланнями, часто у формі URL-адрес зустрічі Zoom. В одному прикладі TA453 налаштував дзвінок Zoom із ціллю, щоб поділитися шкідливою URL-адресою на панелі чату під час дзвінка.
Потім облікові дані жертви вилучаються та використовуються для входу в облікові записи електронної пошти цілей, де хакери можуть отримати доступ до електронних листів і вкладень із скриньки вхідних повідомлень жертви та викрасти їх. Вони також налаштували пересилання пошти, що дозволяє їм переглядати поточне листування, а також отримали доступ до даних списку розсилки та списків контактів жертви.
Потім ця інформація використовується для подальшого націлювання та подальшої фішингової діяльності.
Минулого року було встановлено, що група Seaborgium, також відома як Cold River і Callisto, націлена на три ядерні дослідницькі лабораторії в США, а також була звинувачена у зломі та витоку електронних листів від колишнього директора MI6 Річарда Дірлава.
Тим часом TA453, також відомий як Чарівне кошеня, звинуватили у нападах на політиків США та організації національної інфраструктури.
«Ми наполегливо закликаємо цільові організації та окремих осіб залишатися пильними та вживати заходів для захисту онлайн-акаунтів», — попереджає NCSC, закликаючи людей бути насторожі та використовувати надійні паролі та двофакторну автентифікацію (2FA).
І Іран, і Росія заперечують будь-який зв'язок із хакерськими групами.
