Как сообщила Google, группа иранских хакеров, которая пыталась вторгаться в прошлогоднюю кампанию президентских выборов в США, продолжает проводить широкомасштабные атаки, постоянно меняя тактики, чтобы обманом заставить жертв переходить по вредоносным ссылкам.
Эта группа хакеров известна под разными названиями: APT35, Phosphorous, Charming Kitten и Ajax Security. В течение нескольких лет, утверждает Google, она «захватывала учётные записи, развёртывала вредоносное ПО, а также применяла передовые техники для ведения шпионажа в интересах иранского правительства». Целями APT35 являются учётные записи государственных ведомств, журналистов, некоммерческих организаций, ведомств во внешней политике и национальной безопасности — всех, кто играет какую-то роль в формировании мнений международного сообщества в отношении Ирана.
Один из приёмов, которые группа использует с 2017 года, — это взлом веб-сайтов, благодаря которому жертв становится проще убедить переходить по фишинговым ссылкам. В начале 2021 года APT35 отправляла сообщения по электронной почте со ссылками на поддельный веб-сайт, где пользователям предлагалось активировать приглашение на веб-семинар, войдя в систему, и это была попытка собрать учётные данные от аккаунтов Gmail и Yahoo!. В июле 2021 года, прикрываясь авторитетом лондонской Школы востоковедения и африканистики (SOAS), хакеры зарегистрировали несколько учётных записей Gmail и создали поддельный сайт, выдавая себя за учёных, чтобы собирать данные от людей, которые являлись их целями. Фиктивный ресурс при этом был связан не с самим учебным заведением, а с его подразделениями — радиостанцией и производственной компанией.
В прошлом году APT35 попыталась загрузить шпионское приложение в Google Play Store, замаскировав его под VPN-клиент. В реальности приложение собирало конфиденциальную информацию: журналы вызовов, текстовые сообщения и данные о местоположении устройства. Google обнаружила его и успела удалить ещё до того, как люди начали его устанавливать. В июле 2021 года группа стала нацеливаться и на другие платформы. Хакеры также выдавали себя за организаторов конференций Munich Security и Think-20 Italy — сначала они отправляли потенциальным жертвам безобидные письма, затем вступали с ними в переписку, в ходе которой присылали фишинговые ссылки.
Шейн Хантли (Shane Huntley), директор подразделения Google по вопросам кибербезопасности Threat Analysis Group, заявил, что, невзирая на широкие масштабы атак, вероятность успеха APT35 снижается по мере того, как Google больше узнаёт об этой кампании.
Источник: bloomberg.com