Ιρανοί χάκερς χρησιμοποίησαν το Facebook και λογαριασμούς “μαριονέτα” για να στοχεύουν στρατιωτικό προσωπικό των ΗΠΑ.
Ιρανοί χάκερς με λογαριασμούς “μαριονέτα”
Μια ομάδα Ιρανών δημιούργησε και χρησιμοποίησε ψεύτικους λογαριασμούς στο Facebook για να στοχεύσει στρατιωτικό προσωπικό των ΗΠΑ, καθώς και εργαζομένους στον τομέα της άμυνας και της αεροδιαστημικής, δήλωσε η εταιρεία κοινωνικών μέσων ενημέρωσης στις 14 Ιουλίου 2021.
Οι εν λόγω λογαριασμοί σε μια επιχείρηση συλλογής πληροφοριών με τη χρήση Μέσων Κοινωνικής Δικτύωσης (SOCMINT), ονομάζονται Sock Puppets.
Η ιρανική ομάδα κυβερνοπειρατείας, γνωστή ως Tortoiseshell , χρησιμοποίησε το Facebook και άλλες πλατφόρμες κοινωνικών μέσων για να αλληλεπιδράσει με στόχους προτού μολύνει τις συσκευές τους με κακόβουλο λογισμικό για σκοπούς κατασκοπείας.
Το Facebook είπε ότι οι Ιρανοί χάκερς επένδυσαν πολύ χρόνο στους στόχους τους και σε ορισμένες περιπτώσεις, μίλησαν μαζί τους για μήνες για να κερδίσουν την εμπιστοσύνη τους.
Η δραστηριότητα της ομάδας στο Facebook επικεντρώθηκε κυρίως στην κοινωνική μηχανική και οδηγώντας τους ανθρώπους εκτός πλατφόρμας Facebook (π.χ. υπηρεσίες ηλεκτρονικού ταχυδρομείου, ανταλλαγής μηνυμάτων) και όχι άμεσα με χρήση του ίδιου του κακόβουλου λογισμικού.
Το Facebook δήλωσε ότι έχει καταργήσει τους λογαριασμούς και έχει ειδοποιήσει τους χρήστες του Facebook που στοχοποιήθηκαν. Οι Ιρανοί χάκερς είχαν κυρίως στόχους στις Ηνωμένες Πολιτείες και σε μικρότερο βαθμό το Ηνωμένο Βασίλειο και την Ευρώπη.
Το Facebook προσδιόρισε τις ακόλουθες τακτικές, τεχνικές και διαδικασίες που χρησιμοποίησαν οι Ιρανοί χάκερς:
Κοινωνική μηχανική (Social engineering): Κατά την εκτέλεση της εξαιρετικά στοχευμένης καμπάνιας της, η Tortoiseshell ανέπτυξε εξελιγμένα ψεύτικα διαδικτυακά πρόσωπα για να επικοινωνήσει με τους στόχους της, να δημιουργήσει σχέσεις εμπιστοσύνης και τελικά να τους εξαπατήσει για να κάνουν κλικ σε συνδέσμους που οδηγούσαν σε κακόβουλο λογισμικό. Αυτά τα εικονικά πρόσωπα είχαν προφίλ σε πολλές πλατφόρμες κοινωνικών μέσων για να τα καταστούν πιο αξιόπιστα. Αυτοί οι λογαριασμοί – στρατολογητές, συχνά παρουσιάζονταν ως υπάλληλοι αμυντικών και αεροδιαστημικών εταιρειών από τις χώρες στις οποίες βρίσκονταν οι στόχοι τους. Άλλα πρόσωπα ισχυρίστηκαν ότι εργάζονταν στη φιλοξενία, την ιατρική, τη δημοσιογραφία, τις ΜΚΟ και τις αεροπορικές εταιρείες. Χρησιμοποίησαν διάφορες πλατφόρμες συνεργασίας και ανταλλαγής μηνυμάτων για να μετακινήσουν τις συνομιλίες εκτός πλατφόρμας και να στείλουν κακόβουλα προγράμματα στους στόχους τους. Η έρευνά του Facebook διαπίστωσε ότι αυτή η ομάδα επένδυσε σημαντικό χρόνο στις προσπάθειές τους στον τομέα της κοινωνικής μηχανικής μέσω του Διαδικτύου, σε ορισμένες περιπτώσεις με τους στόχους τους για μήνες.
Social engineering: Κοινωνική μηχανική είναι η πράξη της προφορικής χειραγώγησης ατόμων με σκοπό την απόσπαση πληροφοριών.
Ηλεκτρονικό ψάρεμα και κλοπή διαπιστευτηρίων: Η ιρανική ομάδα Tortoiseshell δημιούργησε ένα σύνολο προσαρμοσμένων τομέων που σχεδιάστηκαν για να προσελκύσουν συγκεκριμένους στόχους στην αεροδιαστημική και αμυντική βιομηχανία. Μεταξύ αυτών ήταν ψεύτικοι ιστότοποι πρόσληψης για συγκεκριμένες αμυντικές εταιρείες. Δημιούργησαν επίσης διαδικτυακή υποδομή που πλαστογράφησε έναν νόμιμο ιστότοπο αναζήτησης εργασίας του Υπουργείου Εργασίας των ΗΠΑ. Ως μέρος των καμπανιών ηλεκτρονικού ψαρέματος, πλαστογράφησαν τομείς των μεγάλων παρόχων ηλεκτρονικού ταχυδρομείου και χρησιμοποίησαν υπηρεσίες συντόμευσης διευθύνσεων URL, για να αποκρύψουν τον τελικό προορισμό αυτών των συνδέσμων. Αυτοί οι τομείς φαίνεται να έχουν χρησιμοποιηθεί για κλοπή διαπιστευτηρίων σύνδεσης στους διαδικτυακούς λογαριασμούς των θυμάτων (π.χ. εταιρικά και προσωπικά email, εργαλεία συνεργασίας, μέσα κοινωνικής δικτύωσης).
Κακόβουλο λογισμικό: Οι Ιρανοί χάκερς της ομάδας Tortoiseshell χρησιμοποίησαν προσαρμοσμένα εργαλεία κακόβουλου λογισμικού που σύμφωνα με το Facebook είναι μοναδικά στις λειτουργίες τους, συμπεριλαμβανομένων trojan, απομακρυσμένης πρόσβασης πλήρους δυνατότητας, εργαλείων αναγνώρισης συσκευών και δικτύων και καταγραφικών πληκτρολόγησης. Μεταξύ αυτών των εργαλείων, συνέχισαν να αναπτύσσουν και να τροποποιούν το κακόβουλο λογισμικό τους για Windows γνωστό ως Syskit, το οποίο χρησιμοποιούν εδώ και χρόνια. Μοιράστηκαν επίσης κακόβουλους συνδέσμους με υπολογιστικά φύλλα του Microsoft Excel.
Ανάπτυξη κακόβουλου λογισμικού: Το Facebook παρατήρησε ότι αυτή οι Ιρανοί χάκερς χρησιμοποίησαν πολλές διαφορετικές οικογένειες κακόβουλου λογισμικού. Η έρευνα και η ανάλυση του κακόβουλου λογισμικού διαπίστωσε ότι ένα μέρος αυτού αναπτύχθηκε από την Mahak Rayan Afraz (MRA), μια εταιρεία πληροφορικής στην Τεχεράνη με δεσμούς με τον Στρατό των Φρουρών της Ισλαμικής Επανάστασης (IRGC). Ορισμένα από τα σημερινά και πρώην στελέχη της MRA έχουν συνδέσμους με εταιρείες που έχουν εγκριθεί από την κυβέρνηση των ΗΠΑ.