Ազգային կենտրոն կիբերանվտանգություն Մեծ Բրիտանիան (NCSC) հաղորդում է Ռուսաստանի և Իրանի հաքերների կողմից պարբերաբար իրականացվող կիբերհարձակումների մասին։
Փորձագիտական զեկույցի համաձայն՝ SEABORGIUM հաքերային խմբերը (aka Callisto Group/TA446/COLDRIVER/TAG-53) և TA453 (aka APT42/Charming Kitten/Yellow Garuda/ITG18) կիրառում են նպատակային ֆիշինգի տեխնիկա՝ հաստատությունների և մասնավոր անձանց վրա հարձակվելու նպատակով: տեղեկատվության հավաքում:
Թեև այս երկու խմբերը իրար հետ չեն, բայց ինչ-որ կերպ նրանք առանձնանում են միմյանցից հարձակում նույն տեսակի կազմակերպությունները, որոնց մեջ անցյալ տարի ընդգրկված էին պետական մարմիններ, հասարակական կազմակերպություններ, պաշտպանության և կրթության ոլորտների կազմակերպություններ, ինչպես նաև անհատներ, ինչպիսիք են քաղաքական գործիչները, լրագրողները և ակտիվիստները:
Նպատակային ֆիշինգը, այսպես ասած, բարդ տեխնիկա է ֆիշինգ, երբ հարձակվողը թիրախավորում է կոնկրետ անձի և ձևացնում է, թե իր զոհին հատուկ հետաքրքրություն ներկայացնող տեղեկատվություն ունի: SEABORGIUM-ի և TA453-ի դեպքում նրանք համոզվում են դրանում՝ ուսումնասիրելով ազատ հասանելի ռեսուրսները՝ իմանալու իրենց թիրախի մասին:
Երկու խմբերն էլ կեղծ պրոֆիլներ են ստեղծել սոցցանցերում և ձևացել են զոհերի ծանոթներ կամ իրենց ոլորտի փորձագետներ և լրագրողներ։ Սկզբում սովորաբար անվնաս շփում կա, քանի որ SEABORGIUM-ը և TA453-ը փորձում են հարաբերություններ հաստատել իրենց զոհի հետ՝ նրանց վստահությունը շահելու համար: Փորձագետները նշում են, որ դա կարող է երկար տևել։ Հաքերներն այնուհետև ուղարկում են վնասակար հղում, այն տեղադրում էլեկտրոնային փոստով կամ ընդհանուր փաստաթղթում Microsoft One Drive կամ Google Drive:
Կենտրոնում կիբերանվտանգություն հաղորդում է, որ «մի դեպքում [TA453]-ը նույնիսկ կազմակերպել է Zoom զանգ՝ զանգի ընթացքում չաթում չարամիտ URL-ով կիսվելու համար»: Զեկուցվել է նաև մի քանի կեղծ ինքնության օգտագործումը մեկ ֆիշինգային հարձակման մեջ՝ հավատալիությունը բարձրացնելու համար:
Հղումներին հետևելը սովորաբար տուժողին տանում է կեղծ մուտքի էջ, որը վերահսկվում է հարձակվողների կողմից, և նրանց հավատարմագրերը մուտքագրելուց հետո նա ենթարկվում է կոտրման: Հաքերներն այնուհետև մուտք են գործում իրենց զոհերի էլփոստի արկղերը՝ գողանալու էլ. Բացի այդ, նրանք օգտագործում են վտանգված էլ.փոստի պահպանված կոնտակտները՝ հետագա հարձակումների ժամանակ նոր զոհեր գտնելու և գործընթացը նորից սկսելու համար:
Երկու խմբերի հաքերներն օգտագործում են էլփոստի ընդհանուր մատակարարների հաշիվները՝ կեղծ ID-ներ ստեղծելու համար, երբ նրանք առաջին անգամ շփվում են թիրախի հետ: Նրանք նաև կեղծ տիրույթներ են ստեղծել օրինական թվացող կազմակերպությունների համար: Ընկերությունից կիբերանվտանգություն Proofpoint-ը, որը հետևում է Իրանի TA2020 խմբին 453 թվականից ի վեր, հիմնականում կրկնում է NCSC-ի բացահայտումները. «[TA453] արշավները կարող են սկսվել շաբաթներ շարունակ հաքերների կողմից ստեղծված աքաունթների հետ ընկերական զրույցներով, նախքան կոտրելու փորձը»: Նրանք նաև նշել են, որ խմբի մյուս թիրախները ներառում են բժշկական հետազոտողներ, օդատիեզերական ինժեներ, անշարժ գույքի գործակալ և տուրիստական գործակալություններ:
Ի լրումն, ընկերությունը հանդես է եկել հետևյալ նախազգուշացումով. «Միջազգային անվտանգության հարցերով աշխատող հետազոտողները, հատկապես նրանք, ովքեր մասնագիտացած են Մերձավոր Արևելքի կամ միջուկային անվտանգության ուսումնասիրություններում, պետք է ավելի զգոնություն ցուցաբերեն չպահանջված էլ. նամակներ ստանալիս: Օրինակ, փորձագետները, որոնց հետ կապվում են լրագրողները, պետք է ստուգեն հրապարակման կայքը՝ համոզվելու համար, որ էլեկտրոնային փոստի հասցեն պատկանում է օրինական լրագրողին»:
Հետաքրքիր է նաև.