Иранские хакеры использовали вредоносное ПО, чтобы собрать как можно больше информации о своих жертвах. Главным образом их интересовала информация из Telegram и менеджера паролей KeePass
• Каждую жертву отбирали из сторонников оппозиционных организаций
• Хакеры рассылали документы, содержащие вредоносное ПО. Открытие их приводило к потере контроля над своей учетной записью Telegram
• Исследователи обнаружили вредоносный бэкдор для Android, который маскировался под сервис, помогающий носителям персидского языка получить свои водительские права в Швеции. Вредонос был способен перехватывать SMS и записывать звук на устройстве.
Исследователи Check Point раскрыли 6-летнюю крупномасштабную операцию по слежке, которую проводили иранские организации против оппозиции. Согласно тем свидетельствам, которые удалось собрать, хакеры, по всей видимости, действуют из Ирана и используют преимущества нескольких векторов атак.
Большинство жертв, которых удалось определить — граждане Ирана, поэтому похоже на то, что иранские хакеры собирают информацию о потенциальных оппозиционерах. И скорее всего, жертв отбирают очень внимательно: атака направлена на конкретных людей. Как правило, следят за теми людьми, кто состоит в диссидентских организациях, например, таких как «Mujahedin-e Khalq» (Организация моджахедов иранского народа).
Еще в 2014 году хакеры использовали сразу несколько векторов атак: это эффективней. Они стремились получить доступ к учетным записям Telegram и KeePass, извлекая коды двухфакторной аутентификации из SMS-сообщений, записывая звуки рядом со смартфоном. Кроме того, они распространяли фишинговые страницы в Telegram, маскируясь под службу поддержки мессенджера.
Многовекторные атаки
Хакеры использовали документы, содержащие вредоносное ПО. Его основная задача — украсть как можно больше информации с нужного устройства. Главные цели — Telegram Desktop и KeePass, известный менеджер паролей. Что может этот инфостилер:
∙ Загружать файлы из Telegram с компьютера жертвы. Эти файлы позволяют злоумышленникам в полной мере использовать учетную запись Telegram жертвы.
∙ Похищать информацию из менеджера паролей KeePass
∙ Загружать любые файлы с заданными расширениями
∙ Считывать и запоминать данные буфера обмена и делать скриншоты рабочего стола
∙ Сохраняться на устройстве долгое время, несмотря на обновления Telegram
Бэкдор Android
В ходе расследования эксперты Check Point обнаружили вредоносное приложение для Android, связанное с теми же злоумышленниками. Приложение маскируется под сервис, помогающий носителям персидского языка получить водительские права в Швеции. Можно предположить, что целями атаки были иранцы, мигрировавшие в Европу. Что позволял бэкдор:
• Получить доступ к SMS-сообщениям и к личной информации, например, к контактам, данным учетных записей на смартфоне
• Пересылать SMS-сообщения с кодом для двухфакторной аутентификации на номер телефона злоумышленников
• Записывать все звуки около смартфона.
• Получить всю информацию об устройстве: какие приложения установлены, какие процессы запущены.
Фишинг с Telegram
На некоторых сайтах, связанных с атакующими, также размещались фишинговые страницы, имитирующие аккаунт поддержки Telegram. Удивительно, но несколько иранских Telegram-каналов выступили с предупреждениями о фишинговых сайтах, утверждая, что за ними стоит иранский режим. По данным каналов, подобные сообщения отправлял Telegram-бот: он предупреждал, что пользователи якобы неправильно используют Telegram и что их учетная запись будет заблокирована, если они не перейдут по ссылке — которая в итоге была фишинговой. Другой источник предоставил скриншоты попыток фишинга, на которых видно, что злоумышленники создали учетную запись, имитирующую официальный аккаунт поддержки Telegram. Интересно, что сначала злоумышленники отправляли сообщения на легитимное обновление Telegram — фишинговое сообщение приходило только спустя пять дней и содержало ссылку уже на вредоносный домен.
«После исследования этих атак можно отметить несколько ключевых моментов, — рассказывает Лотем Финкельстин, ведущий эксперт по анализу угроз Check Point. — Во-первых, особое внимание уделяется слежке за сообщениями. Telegram-сообщения нельзя расшифровать, но можно взломать Telegram. Каждый должен знать о возможной слежке за перепиской, особенно в Telegram — и быть очень осторожным с этим. Во-вторых, все исследованные мобильные, компьютерные фишинговые атаки связаны с одной и той же операцией хакеров. Это означает, что нападения осуществляются в соответствии с целями разведки, с национальными интересами, и не связаны с техническими проблемами. Мы продолжим отслеживать ситуацию в регионах по всему миру, чтобы лучше информировать людей о проблемах кибербезопасности».
www.checkpoint.com
