Иранские хакеры атаковали американских военных через Facebook
16 июля 2021 года
Связываемая с Ираном киберпреступная группировка Tortoiseshell расширила свой список жертв, добавив в него представителей новых сфер деятельности из разных стран.
По данным специалистов Facebook, в последнее время Tortoiseshell атакует военных, а также оборонные и авиакосмические организации преимущественно в США. Кроме того, хакеры (хотя и в меньшей степени) атакуют жертв в Великобритании и Европе, что свидетельствует об эскалации их кибершпионских операций.
Активная с 2018 года группировка Tortoiseshell ранее атаковала
IT-организации в странах Среднего Востока, в основном в Саудовской Аравии, с помощью бэкдора Syskit, собирающего со скомпрометированного компьютера различную информацию и отправляющего ее на подконтрольный злоумышленникам C&C-сервер.
В 2019 году компания Cisco Talos раскрыла проводимую Tortoiseshell вредоносную кампанию против военных ветеранов в США с использованием Syskit. Хакеры развернули поддельные сайты, якобы помогающие ветеранам в поисках работы, но на самом деле заражал их устройства шпионским и другим вредоносным ПО.
Теперь же специалисты Facebook сообщили о принятых мерах против аналогичных атак против иранской киберпреступной группировки, которая с помощью соцсети Facebook обманом заставляла жертв загружать вредоносное ПО. Кампания была нацелена на пользователей в США и частично в Великобритании и Европе.
Наблюдаемая Facebook активность была частью более обширной межплатформенной кибершпионской операции, в которой соцсеть использовалась только в рамках социальной инженерии, а не для прямой доставки вредоносного ПО. Затем жертвы заманивались за пределы платформы для заражения.
В рамках вредоносной операции хакеры Tortoiseshell зарегистрировали поддельные профили на различных платформах, через которые связывались с нужными лицами и обманным образом заставляли их нажать на вредоносные ссылки. Злоумышленники использовали разные платформы и в некоторых случаях «обрабатывали» жертву в течение нескольких месяцев.
Хакеры выдавали себя за рекрутеров и сотрудников оборонных и авиакосмических предприятий, журналистов, представителей некоммерческих организаций, а также гостиничного бизнеса, учреждений здравоохранения и авиакомпаний.
Группировка использует кастомные вредоносные программы,
в том числе трояны для удаленного доступа, инструменты для сбора разведданных, кейлоггеры и модифицированные версии Syskit. Разработчиком одного из инструментов предположительно является тегеранская IT-компания Mahak Rayan Afraz (MRA), связанная с Корпусом стражей исламской революции.
Источники[править]
Эта статья содержит материалы из статьи «Иранские хакеры атаковали американских военных через Facebook», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.