Sofisticirana iranska kampanja kibernetske špijunaže ponovo je pojačana, ciljajući visokopozicionirane osobe putem pažljivo osmišljenih ciljanih operacija krađe identiteta (spear-phishing) koje oponašaju glavne pružaoce usluga e-pošte, uključujući Google, Outlook i Yahoo.
Kampanju, koja se pripisuje akteru prijetnji poznatom kao Educated Manticore, predstavlja značajnu eskalaciju iranskih mogućnosti u kibernetskom ratovanju usred pojačanih geopolitičkih napetosti na Bliskom istoku.
Iranska grupa, koja se također prati pod nadimcima APT42, Charming Kitten i Mint Sandstorm, djeluje pod okriljem Obavještajne organizacije Islamske revolucionarne garde (IRGC).
Njihove najnovije operacije pokazuju zapaženu sofisticiranost u tehnikama socijalnog inženjeringa, koristeći fiktivne profile povezane s legitimnim institucijama, preciznu vremensku koordinaciju i strategije komunikacije putem više kanala kako bi kompromitovali vjerodajnice i zaobišli sisteme višefaktorske autentifikacije.
Nedavne obavještajne informacije ukazuju na to da je kampanja proširila svoj ciljni doseg kako bi uključila vodeće izraelske akademike računalnih znanosti, istraživače kibernetičke sigurnosti i istaknute novinare koji prate geopolitička dešavanja.
Analitičari Check Pointa identificirali su preko 100 zlonamjernih domena posebno osmišljenih da oponašaju legitimne usluge, s posebnim naglaskom na repliciranje interfejsa za autentifikaciju Googlea, Outlooka i Yahooa.
Akteri prijetnji također su kreirali uvjerljive replike platformi za sastanke poput Google Meeta kako bi olakšali svoje operacije prikupljanja vjerodajnica.
Metodologija operacija kampanje otkriva značajan taktički napredak. Početni vektori kontakta strateški variraju ovisno o profilima ciljeva, koristeći kako tradicionalne e-mail komunikacije, tako i enkriptirane aplikacije za razmjenu poruka poput WhatsAppa.
Nakon uspostavljanja kontakta, žrtve se usmjeravaju prema sofisticiranoj phishing infrastrukturi koja koristi napredne okvire za web razvoj kako bi stvorila savršene replike legitimnih interfejsa za prijavu.
Najzabrinjavajući aspekt ove kampanje leži u demonstriranoj sposobnosti Educated Manticore da zaobiđe moderne sigurnosne kontrole, posebno sisteme višefaktorske autentifikacije.
Akteri prijetnji koriste sofisticirane tehnike socijalnog inženjeringa koje žrtve navode da dobrovoljno dijele svoje kodove za autentifikaciju tokom phishing procesa, efektivno neutralizirajući ono što bi trebala biti robusna sigurnosna kontrola.
Vizualna vjernost ovih lažnih stranica za autentifikaciju preusmjerava korisnike na infrastrukturu pod kontrolom napadača, zadržavajući izgled legitimnih interakcija sa uslugama.
Sposobnosti grupacije za impersonaciju protežu se izvan tehničke infrastrukture kako bi uključile vrlo uvjerljiv razvoj profila, pri čemu su se napadači uspješno lažno predstavljali kao zaposlenici srednjeg nivoa u velikim izraelskim firmama, vladini službenici iz Ureda premijera i profesionalci iz etabliranih tehnoloških kompanija.
Ove komunikacije pokazuju gramatičku preciznost i formalnu strukturu, što sugerira moguću pomoć umjetne inteligencije u generiranju sadržaja, iako su suptilne nedosljednosti poput manjih pogrešaka u pisanju imena povremeno otkrivaju njihovu prevarantsku prirodu.
