Wielkiej Brytanii Narodowe Centrum Cyberbezpieczeństwa (NCSC) i agencje amerykańskie, w tym FBI i Departament Skarbu, wydały wspólne ostrzeżenie dotyczące zagrożenia, jakie stwarza rosnąca liczba ukierunkowanych ataków spear-phishing ataki przeprowadzane przez ugrupowania zagrażające wspierane przez rząd irański.
W ostatnich tygodniach zaobserwowano, iż grupy zaawansowanego trwałego zagrożenia (APT) działające dla irańskiego Korpusu Strażników Rewolucji Islamskiej (IRGC) atakują osoby będące przedmiotem zainteresowania twardogłowego państwa, w szczególności osoby pracujące w obszarach związanych ze sprawami Bliskiego Wschodu.
Wiadomo, iż wśród ofiar ataków w Wielkiej Brytanii znaleźli się obecni i byli urzędnicy rządowi, pracownicy ośrodków doradczo-rozwojowych, dziennikarze, aktywiści i lobbyści. W USA pracownicy kampanii politycznych również byli ofiarami takich ataków.
Irańscy napastnicy używają stosunkowo zwykłych środków inżynieria społeczna techniki mające na celu zdobycie zaufania ofiar, w tym podszywanie się pod zaufane kontakty – od kolegów i rówieśników po znanych dziennikarzy, a choćby członków rodziny – za pośrednictwem poczty elektronicznej i platform komunikacyjnych oraz wykorzystywanie tych marionetek do budowania relacji dzięki przynęt, takich jak dyskusja na odpowiednie tematy , jak wojna w Gazie, czy zaproszenia na konferencje.
Ostatecznym celem kampanii jest nakłonienie zamierzonej grupy docelowej do udostępnienia danych uwierzytelniających użytkownika poczty e-mail przy użyciu sfałszowanych stron logowania do konta e-mail. Po uzyskaniu dostępu w ten sposób przestępcy uzyskują pełny dostęp do kont e-mail swoich ofiar i mogą według własnego uznania eksfiltrować i usuwać wiadomości lub konfigurować reguły przekazywania przychodzących wiadomości e-mail do kontrolowanych przez siebie skrzynek odbiorczych.
„Ataki typu spear-phishing przeprowadzane przez podmioty działające w imieniu rządu irańskiego stanowią ciągłe zagrożenie dla osób mających powiązania ze sprawami Iranu i Bliskiego Wschodu” – powiedział dyrektor operacyjny NCSC Paul Chichester.
„Wraz z naszymi sojusznikami będziemy w dalszym ciągu piętnować tę złośliwą działalność, która naraża konta osobiste i firmowe poszczególnych osób, dzięki czemu mogą one podjąć działania zmniejszające ryzyko, iż staną się ofiarami.
„Zdecydowanie zachęcam osoby z grupy zwiększonego ryzyka, aby zachowały czujność w przypadku podejrzanego kontaktu i skorzystały z bezpłatnych narzędzi NCSC do ochrony przed cyberatakami, aby chronić się przed kompromisami”.
NCSC stwierdziło, iż działalność ta stwarza ciągłe zagrożenie w wielu sektorach i zaleca osobom, które mogą być zagrożone, podjęcie kroków łagodzących w pełnym poradnikuco w istocie sprowadza się do tych samych kroków, które powinna podjąć każda rozsądna osoba, takich jak podejrzliwość w stosunku do niechcianych kontaktów, przychodzących linków i plików, dziwnych żądań lub alertów za pośrednictwem usług online, skróconych adresów URL oraz dziwnej pisowni lub użycia gramatyki.
Ponadto NCSC oferuje wytyczne dla osób wysokiego ryzyka o zabezpieczeniu się w Internecienatomiast osoby szczególnie narażone na ataki mogą kwalifikować się do usługi rejestracji konta NCSC, która monitoruje incydenty wpływające na konta osobiste, oraz usługi osobistej ochrony Internetu, która blokuje dostęp do znanych złośliwych domen.
NCSC podkreśliło, iż zwykli obywatele najprawdopodobniej nie muszą zbytnio przejmować się tym działaniem, chociaż ogólnie rzecz biorąc, zawsze warto skorzystać z jego rad.
Akt oskarżenia w związku z kampanią hakerską Trumpa
Jednocześnie Departament Sprawiedliwości Stanów Zjednoczonych (DoJ) otworzył dziś (piątek 27 września) akt oskarżenia przeciwko trzem znanym pracownikom IRGC, wymienionym jako Masoud Jalili, Seyyed Ali Aghamiri i Yaser Balaghi, oskarżając ich o rzekomy udział w spisku włamywać się na konta obecnych i byłych urzędników USA, dziennikarzy, organizacji pozarządowych i pracowników kampanii politycznych.
Ich podejrzana działalność sięga 2020 roku, jednak akt oskarżenia w sposób najbardziej znaczący oskarża trzech mężczyzn o przeprowadzenie operacji hack-and-leak w której próbowali wykorzystać jako broń materiały skradzione z „kampanii prezydenckiej 1” – powszechnie znanej jako kampania republikanów, choć Departament Sprawiedliwości nie zidentyfikował jako takiej – i próbując przekazać je innym osobom powiązanym z „kampanią prezydencką 2” – w czasie pierwsza operacja przeprowadzona w maju byłaby kampanią Demokratów poprzedzającą wycofanie się prezydenta Joe Bidena latem.
„Departament Sprawiedliwości niestrudzenie pracuje nad ujawnieniem i przeciwdziałaniem cyberatakom Iranu, których celem jest podsycanie niezgody, podważanie zaufania do naszych instytucji demokratycznych i wywarcie wpływu na nasze wybory” – powiedział prokurator generalny USA Merrick Garland. „Naród amerykański – a nie Iran czy jakiekolwiek inne zagraniczne mocarstwo – zadecyduje o wyniku wyborów w naszym kraju”.
Dyrektor FBI Christopher Wray dodał: „Dzisiejsze zarzuty stanowią kulminację dokładnego i długotrwałego śledztwa FBI, które doprowadziło do postawienia w stan oskarżenia trzech obywateli Iranu w związku z ich rolą w szeroko zakrojonej kampanii hakerskiej sponsorowanej przez rząd Iranu.
„Zachowanie opisane w akcie oskarżenia to tylko najnowszy przykład bezczelnego zachowania Iranu. Dlatego dzisiaj FBI chciałoby wysłać wiadomość do rządu Iranu – ty i twoi hakerzy nie możecie chować się za klawiaturami”.