Podrobné: Tu je návod, ako Irán špehuje disidentov s pomocou hackerov

Dvojité kybernetické operácie vedené štátom podporovanými iránskymi aktérmi v oblasti hrozieb demonštrujú ich pokračujúce zameranie na zostavovanie podrobných dokumentov o iránskych občanoch, ktoré by mohli ohroziť stabilitu Islamskej republiky, vrátane disidentov, opozičných síl, priaznivcov ISIS a kurdských domorodcov.

Sledovaním rozsiahlych špionážnych operácií voči dvom pokročilým iránskym kybernetickým skupinám Domestic Kitten (alebo APT-C-50) a Infy odhalila spoločnosť kybernetickej bezpečnosti Check Point nové a nedávne dôkazy o ich prebiehajúcich aktivitách, ktoré zahŕňajú používanie vylepšenej sady malvérových nástrojov, ako aj oklamať nevedomých používateľov, aby si stiahli škodlivý softvér pod rúškom populárnych aplikácií.

“Obe skupiny viedli dlhodobé kybernetické útoky a rušivé sledovacie kampane, ktoré sa zameriavajú na mobilné zariadenia jednotlivcov aj osobné počítače,” uviedli vedci z Check Pointu v novej analýze. „Prevádzkovatelia týchto kampaní sú jednoznačne aktívni, citliví a neustále hľadajú nové útočné vektory a techniky, aby zabezpečili dlhovekosť svojich operácií.“

Napriek prekrývaniu obetí a druhu zhromaždených informácií sa títo dvaja aktéri hrozby považujú za navzájom nezávisle pôsobiace. Ale “synergický efekt” vytvorený použitím dvoch rôznych súborov útočných vektorov na zasiahnutie rovnakých cieľov nemožno prehliadnuť, uviedli vedci.

Domáce mačiatko napodobňuje aplikáciu Teheránskej reštaurácie

Domestic Kitten, ktorý je aktívny od roku 2016, je známy tým, že sa zameriava na špecifické skupiny jednotlivcov so škodlivými aplikáciami pre Android, ktoré zhromažďujú citlivé informácie, ako sú SMS správy, protokoly hovorov, fotografie, videá a údaje o polohe v zariadení spolu s ich hlasovými nahrávkami. .

Pri sledovaní štyroch aktívnych kampaní, z ktorých najnovšia začala v novembri 2020 podľa Check Point, sa zistilo, že herec APT-C-50 využíva širokú škálu krycích aplikácií, vrátane VIPRE Mobile Security (falošná mobilná bezpečnostná aplikácia), Exotic Flowers (prebalený variant hry dostupnej na Google Play) a Iranian Woman Ninja (aplikácia na tapety) na distribúciu malvéru s názvom FurBall.

Nie je tomu inak ani v poslednej novembrovej operácii, ktorá využíva falošnú aplikáciu pre reštauráciu Mohsen nachádzajúcu sa v Teheráne na dosiahnutie rovnakého cieľa nalákaním obetí na inštaláciu aplikácie viacerými vektormi – SMS správami s odkazom na stiahnutie malvéru, iránsky blog ktorý je hostiteľom užitočného zaťaženia a dokonca sa zdieľa prostredníctvom kanálov telegramu.

Vrátane prominentných cieľov útoku 1200 osôb nachádzajúcich sa v Iráne, USA, Veľkej Británii, Pakistane, Afganistane, Turecku a Uzbekistane, uviedli vedci, pričom bolo hlásených viac ako 600 úspešných infekcií.

Po nainštalovaní si FurBall udeľuje široké oprávnenia na spustenie aplikácie vždy automaticky pri spustení zariadenia a pokračuje v zhromažďovaní histórie prehliadača, hardvérových informácií, súborov na externej SD karte a periodicky každých 20 sekúnd exfiltruje videá, fotografie a záznamy hovorov.

Monitoruje tiež obsah schránky, získava prístup ku všetkým upozorneniam prijatým zariadením a prichádza s možnosťami vzdialeného vykonávania príkazov vydaných zo servera príkazov a ovládania (C2) na nahrávanie zvuku, videa a telefónnych hovorov.

Zaujímavé je, že FurBall sa zdá byť založený na komerčne dostupnom spywari s názvom KidLogger, čo znamená, že herci „buď získali zdrojový kód KidLogger, alebo reverzne skonštruovali vzorku a odstránili všetky nadbytočné časti, potom pridali ďalšie možnosti“.

Infy ​​sa vracia s novým, predtým neznámym malvérom druhej fázy

Prvýkrát objavený v máji 2016 spoločnosťou Palo Alto Networks, obnovená činnosť spoločnosti Infy (tiež nazývaná Prince of Persia) v apríli 2020 predstavuje pokračovanie kybernetických operácií skupiny, ktoré sa už viac ako desať rokov zameriavajú na iránskych disidentov a diplomatické agentúry v celej Európe.

Zatiaľ čo ich snahy o dohľad nabrali v júni 2016 porážku po tom, ako spoločnosť Palo Alto Networks potopila infraštruktúru C2, Infy sa v auguste 2017 znovu objavila s technikami proti prevzatiu spolu s novým Windows info-kradač s názvom Foudre.

Skupine sa tiež navrhuje, aby mala väzby na Iránsku telekomunikačnú spoločnosť po tom, čo výskumníci Claudio Guarnieri a Collin Anderson v júli 2016 zverejnili dôkazy, že podskupina domén C2, ktoré presmerovávajú do prepadu, bola zablokovaná manipuláciou DNS a filtrovaním HTTP, čím sa zabránilo prístupu k ponorná diera.

Potom v roku 2018 našli Intezer Labs novú verziu malvéru Foudre s názvom verzia 8, ktorý tiež obsahoval „neznámy binárny súbor“ – teraz s názvom Tonnerre od Check Point, ktorý sa používa na rozšírenie možností prvého.

„Zdá sa, že po dlhej prestávke sa iránski kybernetickí útočníci dokázali preskupiť, opraviť predchádzajúce problémy a dramaticky posilniť svoje aktivity OPSEC, ako aj technickú odbornosť a schopnosti svojich nástrojov,“ uviedli vedci.

Od apríla 2020 boli odhalené až tri verzie Foudre (20-22), pričom nové varianty sťahujú Tonnerre 11 ako ďalšiu fázu užitočného zaťaženia.

Útočný reťazec začína odoslaním phishingových e-mailov obsahujúcich návnadové dokumenty napísané v perzštine, ktoré po zatvorení spustí škodlivé makro, ktoré spustí a spustí zadné vrátka Foudre, ktoré sa potom pripojí k serveru C2 a stiahne implantát Tonnerre.

Okrem vykonávania príkazov zo servera C2, nahrávania zvukov a zachytávania snímok obrazovky Tonnerre vyniká tým, že používa dve sady serverov C2 – jeden na prijímanie príkazov a sťahovanie aktualizácií pomocou HTTP a druhý server, na ktorý sa ukradnuté údaje prenášajú. cez FTP.

Výskumníci uviedli, že nezvyčajná veľkosť Tonnerre s veľkosťou 56 MB bude pravdepodobne pracovať v jeho prospech a bude sa vyhýbať detekcii, pretože mnohí predajcovia ignorujú veľké súbory počas skenovania škodlivého softvéru.

Na rozdiel od domáceho mačiatka sa však zistilo, že cieľom tohto útoku bolo len niekoľko desiatok obetí, vrátane obetí z Iraku, Azerbajdžanu, Spojeného kráľovstva, Ruska, Rumunska, Nemecka, Kanady, Turecka, USA, Holandska a Švédska.

„Zdá sa, že prevádzkovatelia týchto iránskych kyberšpionážnych kampaní nie sú úplne ovplyvnení žiadnymi proti-aktivitami iných, aj keď boli odhalené a dokonca zastavené v minulosti – jednoducho neprestanú,“ povedal Yaniv Balmas, šéf kybernetického oddelenia. výskum v Check Point.

“Títo prevádzkovatelia kampane sa jednoducho poučia z minulosti, upravia svoju taktiku a chvíľu počkajú, kým búrka prejde, aby k nej opäť zaútočila. Okrem toho je potrebné poznamenať, aké obrovské množstvo zdrojov je iránsky režim ochotný.” míňať na uplatňovanie ich kontroly.“