Irańscy hakerzy udają naukowców. Za cel obrali zagranicznych profesorów i dziennikarzy
Hakerzy szukają ciągle nowych sposobów na pozyskanie naszego zaufania za pomocą socjotechniki. Grupa TA453, znana także jako Charming Kitten lub Phosphorous przeprowadziła zaawansowany atak skierowany na think tanki, dziennikarzy i profesorów.
13.07.2021 18:50
Grupa TA453 podejrzewana jest o powiązanie z Iranem. Jej celem są organizacje zaangażowane w sektor rządowy, technologii obronnych, wojska i dyplomacji. Nie dziwi więc, że zgodnie z informacjami serwisu The Hacker News, ostatni atak miał na celu pozyskania poufnych informacji poprzez udawanie naukowców w Szkole Studiów Orientalnych i Afrykańskich Uniwersytetu Londyńskiego (ang. School of Oriental and African Studies, SOAS).
Socjotechnika podstawą ataku
Hakerzy z TA453 podszywali się brytyjskich naukowców i starali się nakłonić swoje ofiary do kliknięcia w link rejestracyjny prowadzącego do konferencji online. Strona została zaprojektowana w celu przechwytywania danych uwierzytelniających do kont Google, Microsoft, Facebook czy Yahoo.
Osoby poszkodowane udało się zachęcić do podania swoich danych nie tylko dzięki socjotechnicznym sztuczkom. Oszuści zadali sobie też nieco trudu by ich strona nie dawała nikomu żadnych podstaw do jakichkolwiek podejrzeń. W tym celu wykorzystali skompromitowaną witrynę należącą do radia SOAS. Za pomocą możliwe było gromadzenie danych, które następnie były sprawdzane przez hakerów w celu upewnienia się, że są poprawne, a więc i przydatne im.
Schemat dalej się sprawdza
Nie jest to pierwszy tego rodzaju atak w wykonaniu tej grupy. W zeszłym roku Charming Kitten dokonało serii ataków phishingowych wymierzonych w dziennikarzy, działaczy politycznych i obrońców praw człowieka. Już wtedy podkreślano, że główną taktyką wykorzystywaną przez hakerów jest socjotechnika.
W poprzednim ataku grupa wykorzystała tożsamość jednego z dziennikarzy Wall Street Journal aby pozyskać zaufanie swoich ofiar i zachęcić je do podzielenia się informacjami. Po pozyskaniu ich zaufania, oszuści przechodzili do kolejnych działań, które pozwalały im na kradzież danych logowania.
Można spodziewać się kolejnych ataków
Obserwując działalność grupy nie trudno dojść do wniosku, że nie jest to ostatnie słowo z jej strony. Eksperci podejrzewają, że jest to rządowa grupa irańska, która prowadzi działania wywiadowcze w imieniu Korpusu Strażników Rewolucji Islamskiej (IRGC). Eksperci podkreślają, że wykorzystanie skompromitowanej infrastruktury uczelni świadczy o tym, że grupa prowadzi coraz bardziej wyrafinowane ataki.