Irán támogatásával állítólagos kiberfenyegetések az Egyesült Államokban
Google fenyegetéselemző csoportja, a TAG, szerdán megerősítette, hogy egy iráni kormány által támogatott fenyegető szereplőt figyeltek meg, amely az Egyesült Államok elnökválasztási kampányaihoz kapcsolódó Google-fiókokat céloz meg, miközben fokozott támadásokat indít izraeli célpontok ellen.
A kiberfenyegetések részletei
Az APT42, amely az Irán Iszlám Forradalmi Gárdájához köthető, „konzisztensen célozza meg a magas rangú felhasználókat Izraelben és az Egyesült Államokban” – írja a TAG. Az iráni csoport különféle módszereket használ, beleértve a rosszindulatú szoftvereket, a phishing oldalakat, valamint a káros átirányításokat, hogy hozzáférjen a Google, a Dropbox, a OneDrive és egyéb felhőalapú fiókokhoz.
A Google TAG írja, hogy resetelték a fiókokat, figyelmeztetéseket küldtek a felhasználóknak, és feketelistára tették az APT42 phishing kísérleteihez kapcsolódó domain neveket.
Politikai kampányok célkeresztjében
Az APT42 eszközei között szerepeltek olyan Google Sites oldalak, amelyek egy legitimmá tűnő petíciót mutattak be, amely izraeli aktivisták által kérte Izraelt, hogy közvetítsen a Hamasz és Izrael közötti konfliktusban. Az oldal képfájlokból készült, nem HTML-ből, és egy ngrok átirányítás küldte a felhasználókat a phishing oldalakra, amikor aláírták a petíciót.
A Google szerint az Egyesült Államokban az APT42 aktívan célozza meg „körülbelül egy tucat” személyes e-mail fiókját, akik kapcsolatban állnak Biden elnökkel és Trump egykori elnökkel. A TAG megerősítette, hogy az APT42 „sikeresen hozzáférést szerzett egy magas rangú politikai tanácsadó személyes Gmail fiókjához”, amelyről úgy tűnik, hogy Roger Stone, a republikánus politikai operatív, akinek Microsoft fiókját is feltörték.
Az APT42 stratégiája
A Google bejegyzésében részletezi, hogy az APT42 hogyan célozza meg mindkét párt operatív munkatársait. A széleskörű stratégia célja, hogy a célt a levélfiókjából átkonvertálja olyan csatornákra, mint a Signal, Telegram vagy WhatsApp, vagy egy olyan személyi e-mail címre, amelyen nincs beállítva a kétfaktoros azonosítás.
A csoport gyakran generál alkalmazásspecifikus jelszavakat a fiókban, hogy megőrizze hozzáférését, ami általában megkerüli a multifaktoros eszközöket.
Érdekes tény: Az APT42 kiberfenyegetései nemcsak politikai célokat szolgálnak, hanem a választások befolyásolására is irányulhatnak, hasonlóan az orosz kampányokhoz a 2016-os elnökválasztás során.
Források: The Guardian, CNN, The Washington Post, Wired