Mandiant je otkrio jednu od neobičnih iranskih kontraobavještajnih aktivnosti koja se fokusira na potencijalne agente stranih obavještajnih službi, posebno u Izraelu.
Operaciju su vodili hakeri koje je sponzorisala iranska država između 2017. i marta 2024. godine i uključivala je preko 35 lažnih stranica za regrutaciju na farsiju, na kojima su se pratile ponude za posao i sadržaj relevantan za državu Izrael.
Ove stranice su ciljale i sistematski prikupljale lične, zanimanja i obrazovne detalje kako bi identifikovale moguće HUMINT kandidate.
Tehnička analiza
Ova operacija sadrži tragove APT42, iranske grupe koja je povezana s IRGC-IO, za koju se također zna da koristi društvene mreže za kontakt i ciljanje na disidente, aktiviste i iseljenike.
Konkretno, ciljevi su prošireni zajedno sa kampanjom, a počinioci su krenuli protiv obavještajnih zajednica koje govore arapski i koje su povezane sa Sirijom i Libanom. Mandiantova procjena nije identifikovala bilo kakav pokušaj vezan za miješanje SAD u izbore.
Kompanija je nastojala potkopati operaciju, zatvarajući povezane račune i pružajući korisnicima web stranice zaštitne mjere.
Ova kampanja pokazuje kako iranska vlada nastavlja napore da zaštiti svoje obavještajne službe i eventualno ugradi te prijetnje u represiju vlade.
U ovoj konkretnoj kampanji sajber špijunaže , koja je složena po prirodi, lažni izraelski regrutacioni sajtovi fokusiraju se na ljude koji govore farsi i regrutuju ih koristeći strategije socijalnog inženjeringa.
Veze se šire sa sajtova kao što je X (aka Twitter) i neke virasty, do zlonamjernih web lokacija kao što su topwor4u[.]com i beparas[.]com.
Ove stranice su hostovane na WordPress-u i oponašaju HR agencije kao što su “Optima HR” ili “Kandovan HR”, sa sadržajem i mogućnostima za karijeru u vezi s Izraelom i sajber-sigurnošću i obavještajnim podacima.
Utvrđeno je da su strukture sajtova identične, s tim da su neke sadržavale telegramske kontakte koji nose „IL“ (Izrael), kao što su hxxps://t[.]me/PhantomIL13 i hxxps://t[.]me/getDmIL.
Istraga beparas[.]com je takođe identifikovala i podigla ručicu za prijavu na WordPress „miladix“ povezana sa slikom avatara Gravatar neobičnosti sa zapisima e-pošte u obliku sha256.
Kampanja koristi i desktop i mobilnu verziju sajtova, koji nose izraelske sajtove i grafiku.
Ove web stranice imaju obrasce koji zahtijevaju lične i poslovne informacije kao što su njihova imena, datumi rođenja, e-mailovi, fizičke adrese, obrazovna istorija i radna istorija.
Ciklus napada uključuje distribuciju linka, obezbjeđivanje lažnog sadržaja i prikupljanje informacija.
Veza sa iranskim programerom softvera je triangulirana preko miladix[.]com, međutim, takve veze nisu mogle biti potvrđene.
Čini se da je ova aktivnost usmjerena na praćenje kretanja iranskih državljana s vještinama kibernetičke sigurnosti u svrhe špijunaže ili regrutacije.
Operacija “Os otpora” uključivala je sofisticirane taktike sajber špijunaže usmjerene na Siriju i Hezbolah.
Istraga je razotkrila lažne sajtove za regrutaciju kao što su „Optima HR“, „VIP Human Solutions“, koji su regrutovali izvorni farsi i arapski govornike sa bezbednosnim i obaveštajnim iskustvom.
Sajtovi su imali komandne i kontrolne strukture i šablone povezane sa pripadnošću lažnog sadržaja Izraelu za primarne slike, plus kontakte na telefonu (+972), grupne razgovore telegrama (hxxps://t[.]me/joinchat/AAAAAFgDeSXaWr2r_AQImw).
Mandiantova istraga otkrila je veze sa domenima poput vipjobsglobal[.]com i raznim Telegram nalozima. Kampanja, za koju se sumnja da je povezana sa izraelskim Mosadom, trajala je najmanje od 2018. do 2023. godine.
Izvor: CyberSecurityNews