Sofisticirana iranska kampanja sajber špijunaže ponovo je aktivna s pojačanim intenzitetom, ciljajući uticajne osobe putem pažljivo osmišljenih napada lažnim elektronskim porukama (spear-phishing) koje oponašaju velike provajdere elektronske pošte, uključujući Google, Outlook i Yahoo.
Ova kampanja, pripisana poznatom hakeru u sajber prostoru pod imenom Educated Manticore, predstavlja značajnu eskalaciju iranskih sposobnosti u sajber ratovanju usred pojačanih geopolitičkih tenzija na Bliskom istoku.
Iranska grupacija, takođe poznata pod nadimcima APT42, Charming Kitten i Mint Sandstorm, djeluje pod okriljem Obavještajne organizacije Iranske revolucionarne garde (IRGC).
Njihove najnovije operacije pokazuju značajnu usavršenost u tehnikama društvenog inženjeringa, koristeći izmišljene profile povezane sa legitimnim institucijama, preciznu vremensku koordinaciju i strategije komunikacije putem više kanala kako bi kompromitovali kredencijale i zaobišli sisteme višefaktorske autentifikacije.
Nedavne obavještajne informacije ukazuju na to da je kampanja proširila svoj opseg djelovanja na vodeće izraelske akademike iz oblasti računarstva, stručnjake za sajber bezbjednost i istaknute novinare koji prate geopolitička dešavanja.
Analitičari kompanije Check Point identifikovali su preko 100 malicioznih domena namenski kreiranih da oponašaju legitimne usluge, sa posebnim naglaskom na replikaciju interfejsa za autentifikaciju Google-a, Outlook-a i Yahoo-a.
Hakeri su takođe kreirali uvjerljive kopije platformi za sastanke poput Google Meet-a kako bi olakšali svoje operacije prikupljanja kredencijala.
Operativna metodologija kampanje otkriva značajnu taktičku evoluciju. Početni vektori kontakta strateški variraju u zavisnosti od profila cilja, koristeći kako tradicionalnu komunikaciju putem elektronske pošte, tako i šifrovane aplikacije za razmjenu poruka poput WhatsApp-a.
Nakon uspostavljanja kontakta, žrtve se usmjeravaju ka sofisticiranoj fišing infrastrukturi koja koristi napredne okvire za web razvoj kako bi kreirala precizne kopije legitimnih interfejsa za prijavu.
Najzabrinjavajući aspekt ove kampanje leži u dokazanoj sposobnosti grupe Educated Manticore da zaobiđe savremene bezbjednosne kontrole, posebno sisteme višefaktorske autentifikacije.
Hakeri primjenjuju sofisticirane tehnike društvenog inženjeringa koje navode žrtve da dobrovoljno dijele svoje kodove za autentifikaciju tokom fišing procesa, efektivno neutrališući ono što bi trebalo da bude snažan bezbjednosni mehanizam.
Vizuelna vjernost ovih lažnih stranica za autentifikaciju preusmjerava korisnike ka infrastrukturi pod kontrolom napadača, istovremeno zadržavajući izgled legitimnih interakcija sa uslugama.
Sposobnosti grupacije u oponašanju prevazilaze tehničku infrastrukturu, obuhvatajući i razvoj veoma uvjerljivih profila, pri čemu napadači uspješno preuzimaju identitete zaposlenih srednjeg nivoa u velikim izraelskim firmama, vladinih službenika iz Kabineta premijera i profesionalaca iz etabliranih tehnoloških kompanija.
Ove komunikacije pokazuju gramatičku preciznost i formalnu strukturu, što sugeriše potencijalnu upotrebu vještačke inteligencije (AI) u generisanju sadržaja, iako suptilne nedosljednosti, poput manjih grešaka u pisanju imena, povremeno otkrivaju njihovu prevarnu prirodu.
Ovo upozorenje je objavila kompanija Check Point, koja je detaljno analizirala i dokumentovala napredne metode koje koristi grupa Educated Manticore. Informacije su podijeljene na njihovom zvaničnom blogu i dostupne su široj javnosti, uključujući i stručnjake iz oblasti sajber bezbjednosti. Napad se izdvaja po svojoj složenosti i sposobnosti da zaobiđe višefaktorsku autentifikaciju, što predstavlja ozbiljan izazov za savremene bezbjednosne mehanizme. Prevaranti koriste društveni inženjering kako bi naveli žrtve da same unesu svoje podatke za prijavu i dvofaktorske kodove. To postižu tako što kreiraju lažne stranice koje izgledaju identično legitimnim stranicama za prijavu na Google, Outlook ili Yahoo. Ove lažne stranice su izuzetno uvjerljive, često koristeći iste boje, fontove i logotipe kao originalne. Pored toga, napadači koriste vješto izrađene profile, predstavljaju se kao kolege ili nadređeni, i koriste precizne informacije o ciljanoj osobi ili organizaciji kako bi povećali vjerodostojnost svojih poruka. Na primjer, žrtvu mogu uvjeriti da je potrebno “potvrditi svoj nalog” ili “ažurirati bezbjednosne postavke” klikom na link koji vodi ka lažnoj stranici za prijavu. Kada žrtva unese svoje korisničko ime i lozinku, ti podaci se odmah šalju napadačima. U nekim slučajevima, nakon unosa lozinke, od žrtve se može zatražiti i unos dvofaktorskog koda koji je upravo primila, čime napadači efektivno dobijaju pristup njenom nalogu. Ova metoda čini napade posebno opasnim jer su čak i korisnici koji su svjesni osnova sajber bezbjednosti i koriste višefaktorsku autentifikaciju, ranjivi ako nasjednu na vješto izvedene tehnike društvenog inženjeringa.
