Тези ирански хакери се представяха за учени в опит да откраднат пароли за имейли

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Иранска кампания за кибер шпионаж използва фалшиви самоличности на истински учени от университета в Обединеното кралство във фишинг атаки, предназначени да откраднат подробности за парола на експерти по близкоизточните въпроси от университети, мозъчни тръстове и медии.

Подробно от изследователи по киберсигурност в Proofpoint, които са го нарекли Operation SpoofedScholars, кампанията също така компрометира уебсайт, свързан с университет, в опит да предостави персонализирани страници за събиране на идентификационни данни на целите, под прикритието да ги покани да говорят в уеб семинар по проблемите на Близкия изток.

Изследователите на Proofpoint са свързали фишинг кампанията с група за усъвършенствана постоянна заплаха (APT), която те наричат ​​TA453 – известна също като Очарователно коте и Фосфор – подкрепяна от държавата операция за събиране на разузнавателна информация, работеща от името на Иранския корпус на революционната гвардия (IRGC).

Нападателите са използвали адреси в Gmail, предназначени да изглеждат, че принадлежат на истински учени от Школата за ориенталски и африкански изследвания (SOAS) в Лондонския университет, използвайки доверие в имената на истинския персонал.

Нападателите, опериращи имейл адреса, изпращат съобщения до потенциални цели, като ги канят на онлайн конференция на тема „Предизвикателствата на САЩ в Близкия изток“, включително предложението да говорят с целта по телефона, за да обсъдят подробности, което е необичайно.

В крайна сметка нападателите изпратиха персонализирана „връзка за регистрация“ до целите си, изпращайки ги до нещо, което приличаше на платформа за уеб семинари на SOAS.

Това беше хоствано на легитимен, но компрометиран уебсайт, принадлежащ на SOAS Radio на Университета в Лондон – уебсайт, според SOAS, е отделен от основния уебсайт на SOAS и не е част от официалния домейн – който помоли потребителя да влезе в платформата чрез имейл адрес , с опции за различни връзки, върху които да кликнете, в зависимост от избора на доставчик на имейл хостинг на жертвата.

ВИЖТЕ: Печеливша стратегия за киберсигурност (Специален доклад на ZDNet) | Изтеглете отчета като PDF (TechRepublic)

Опциите включват Google, Yahoo, Microsoft, iCloud, Facebook и други – и ако потребителят щракне върху връзката, те ще бъдат отведени до фалшива версия на страницата за вход на доставчика на електронна поща, която нападателите могат да използват, за да откраднат потребителското име и паролата с цел шпионаж и допълнителни фишинг атаки.

Изследователите са уверени, че кампанията работи извън Иран.

“Приписването специално за операция SpoofedScholars се основава на прилики с предишни кампании на TA453 и на съгласуваност с историческото насочване на TA453. TA453 често използва безплатни доставчици на електронна поща, за да измами лица, запознати с техните цели, за да увеличи вероятността от успешен компромис”, Шерод ДеГрипо, старши директор на заплахата проучване и откриване в Proofpoint каза пред ZDNet.

„Освен това TA453 концентрира своите фишинг на идентификационни данни към конкретни лица от интерес, за да събира разузнавателна информация чрез дефилтрация на чувствителни имейли и контакти или първоначален достъп за бъдещи фишинг кампании“.

Не е известно дали нападателите са успели в опитите си да откраднат информация, но след като е бил информиран, че уебсайтът е компрометиран, SOAS предприе действия за премахването му.

“След като разбрахме за фиктивния сайт по-рано тази година, ние незабавно отстранихме и съобщихме за нарушението по нормалния начин. Прегледахме как се случи това и предприехме стъпки за по-нататъшно подобряване на защитата на този вид периферни системи”, говорител на SOAS каза на ZDNet.

“За да бъде ясно, академичният персонал в SOAS, разбира се, не участва в този процес, нито някакви действия или изявления от служители на SOAS са довели до тяхното подправяне по този начин. Няма намек за нарушаване на киберсигурността от който и да било персонал на SOAS,” те казаха.

Иранските кибер операции редовно са насочени към академичните среди във Великобритания и е вероятно те да се върнат с по-нататъшни кампании в бъдеще.

„Образователните интуиции ще останат първостепенни цели поради високата популация на студентите, преподавателите и персонала, както и текущите независими изследвания и културата на откритост и споделяне на информация“, каза DeGrippo.

„Жизненоважно е образователните институции да направят обучението за повишаване на осведомеността относно сигурността и ориентираните към хората решения за киберсигурност приоритет, за да помогнат на персонала с възможността да идентифицира фишинг страници“, добави тя.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •