Irańscy hakerzy atakują izraelskie organizacje. Celują w dostawców podstawowych usług
Zespół ClearSky wykrył nowe zagrożenie atakami ze strony irańskich hakerów. Osoby działające w zespole Siamesekitten obrały sobie za cel izraelskich dostawców usług takich jak ropa, gaz czy usługi telekomunikacyjne.
Grupa hakerska Siamesekitten (zwana także Lyceum lub Hexane) to irańska grupa APT działająca na Bliskim Wschodzie i w Afryce. Specjaliści z ClearSky odkryli, że ich ataki miały miejsce w maju i lipcu bieżącego roku.
Sposób ataku
Irańscy cyberprzestępcy, w ramach swoich ataków na izraelskie firmy, podszywali się pod pracowników danego przedsiębiorstwa lub dział HR z innych korporacji. Potencjalne ofiary były kuszone fałszywymi ofertami pracy w dużych, znanych firmach. Oszuści podający się za rekruterów podsyłali, między innymi, arkusze kalkulacyjne w których znajdowały się oferty pracy ze szczegółowymi informacjami.
Zainteresowani pracownicy wchodzili na podsyłane im strony phishingowe podane w pliku z ofertami. Na spreparowanych przez hakerów witrynach znajdował się ukryty plik uruchamiający backdoor Milan. Kolejnym etapem ataku było pobranie trojana zdalnego dostępu o nazwie DanBot, co było możliwe dzięki wcześniejszemu backdoorowi.
Widać więc, że grupa Siamesekitten włożyła sporo pracy w swoje ataki. Poza tworzeniem fałszywych stron oraz kampaniami skierowanymi do potencjalnych ofiar, hakerzy tworzyli także profile w serwisie LinkedIn. Ten zaś mógł im posłużyć do dalszego zbudowania bazy potencjalnych ofiar, jak i uwiarygodnienia swoich zamiarów.
Kampania szpiegowska
Zdaniem ClearSky, tego rodzaju kampanie prowadzone przez Siamesekitten są typowymi działaniami szpiegowskimi. Podobnie jak w przypadku innych grup, możliwe jest, że zbieranie informacji wywiadowczych jest pierwszym krokiem w kierunku przeprowadzania ataków polegających na podszywaniu się pod konkretne osoby.
Specjaliści stwierdzili również, że ataki, w swoim sposobie przeprowadzenia, są podobne do innej kampanii. Ich zdaniem północnokoreańska akcja North Star, wymierzona wówczas w przemysł obronny, została przeprowadzona w bardzo podobny sposób.