More

    Obavještajne operacije hakera koje sponzoriše Iran koristeći lažne ponude za posao

    Mandiant je otkrio jednu od neobičnih iranskih kontraobavještajnih aktivnosti koja se fokusira na potencijalne agente stranih obavještajnih službi, posebno u Izraelu.

    Operaciju su vodili hakeri koje je sponzorisala iranska država između 2017. i marta 2024. godine i uključivala je preko 35 lažnih stranica za regrutaciju na farsiju, na kojima su se pratile ponude za posao i sadržaj relevantan za državu Izrael.

    Ove stranice su ciljale i sistematski prikupljale lične, zanimanja i obrazovne detalje kako bi identifikovale moguće HUMINT kandidate.

    Tehnička analiza

    Ova operacija sadrži tragove APT42, iranske grupe koja je povezana s IRGC-IO, za koju se također zna da koristi društvene mreže za kontakt i ciljanje na disidente, aktiviste i iseljenike. 

    Konkretno, ciljevi su prošireni zajedno sa kampanjom, a počinioci su krenuli protiv obavještajnih zajednica koje govore arapski i koje su povezane sa Sirijom i Libanom. Mandiantova procjena nije identifikovala bilo kakav pokušaj vezan za miješanje SAD u izbore. 

    Kompanija je nastojala potkopati operaciju, zatvarajući povezane račune i pružajući korisnicima web stranice zaštitne mjere. 

    Ova kampanja pokazuje kako iranska vlada nastavlja napore da zaštiti svoje obavještajne službe i eventualno ugradi te prijetnje u represiju vlade.

    U ovoj konkretnoj kampanji sajber špijunaže , koja je složena po prirodi, lažni izraelski regrutacioni sajtovi fokusiraju se na ljude koji govore farsi i regrutuju ih koristeći strategije socijalnog inženjeringa.

    Veze se šire sa sajtova kao što je X (aka Twitter) i neke virasty, do zlonamjernih web lokacija kao što su topwor4u[.]com i beparas[.]com.

    Ove stranice su hostovane na WordPress-u i oponašaju HR agencije kao što su “Optima HR” ili “Kandovan HR”, sa sadržajem i mogućnostima za karijeru u vezi s Izraelom i sajber-sigurnošću i obavještajnim podacima.

    Utvrđeno je da su strukture sajtova identične, s tim da su neke sadržavale telegramske kontakte koji nose „IL“ (Izrael), kao što su hxxps://t[.]me/PhantomIL13 i hxxps://t[.]me/getDmIL.

    Istraga beparas[.]com je takođe identifikovala i podigla ručicu za prijavu na WordPress „miladix“ povezana sa slikom avatara Gravatar neobičnosti sa zapisima e-pošte u obliku sha256.

    Životni ciklus napada (Izvor – Mandiant)

    Kampanja koristi i desktop i mobilnu verziju sajtova, koji nose izraelske sajtove i grafiku.

    Ove web stranice imaju obrasce koji zahtijevaju lične i poslovne informacije kao što su njihova imena, datumi rođenja, e-mailovi, fizičke adrese, obrazovna istorija i radna istorija.

    Obrazac lažnih ličnih podataka (Izvor – Mandiant)

    Ciklus napada uključuje distribuciju linka, obezbjeđivanje lažnog sadržaja i prikupljanje informacija.

    Veza sa iranskim programerom softvera je triangulirana preko miladix[.]com, međutim, takve veze nisu mogle biti potvrđene.

    Čini se da je ova aktivnost usmjerena na praćenje kretanja iranskih državljana s vještinama kibernetičke sigurnosti u svrhe špijunaže ili regrutacije.

    Operacija “Os otpora” uključivala je sofisticirane taktike sajber špijunaže usmjerene na Siriju i Hezbolah. 

    Istraga je razotkrila lažne sajtove za regrutaciju kao što su „Optima HR“, „VIP Human Solutions“, koji su regrutovali izvorni farsi i arapski govornike sa bezbednosnim i obaveštajnim iskustvom.

    Sajtovi su imali komandne i kontrolne strukture i šablone povezane sa pripadnošću lažnog sadržaja Izraelu za primarne slike, plus kontakte na telefonu (+972), grupne razgovore telegrama (hxxps://t[.]me/joinchat/AAAAAFgDeSXaWr2r_AQImw).

    Mandiantova istraga otkrila je veze sa domenima poput vipjobsglobal[.]com i raznim Telegram nalozima. Kampanja, za koju se sumnja da je povezana sa izraelskim Mosadom, trajala je najmanje od 2018. do 2023. godine.

    Izvor: CyberSecurityNews

    Recent Articles

    spot_img

    Related Stories