Rahvuskeskus küberturvalisus Suurbritannia (NCSC) teatab Venemaa ja Iraani häkkerite korrapärastest küberrünnakutest.
Ekspertiisiakti kohaselt kasutavad häkkerirühmitused SEABORGIUM (teise nimega Callisto Group/TA446/COLDRIVER/TAG-53) ja TA453 (teise nimega APT42/Charming Kitten/Yellow Garuda/ITG18) sihtotstarbelisi andmepüügitehnikaid, et rünnata asutusi ja eraisikuid eesmärgiga teabe kogumine.
Kuigi need kaks gruppi ei ole omavahel seotus, on nad kuidagi üksteisest lahus rünnak sama tüüpi organisatsioone, kuhu eelmisel aastal kuulusid valitsusasutused, valitsusvälised organisatsioonid, kaitse- ja haridussektori organisatsioonid, aga ka üksikisikud nagu poliitikud, ajakirjanikud ja aktivistid.
Sihitud andmepüük on nii-öelda keerukas tehnika andmepüügi, kui ründaja sihib konkreetset inimest ja teeskleb, et tal on ohvrile erilist huvi pakkuv teave. SEABORGIUMi ja TA453 puhul veenduvad nad selles, uurides vabalt saadaolevaid ressursse, et saada teavet oma sihtmärgi kohta.
Mõlemad grupid lõid sotsiaalmeedias võltsprofiile ning esinesid ohvrite või oma ala asjatundjate ja ajakirjanike tuttavatena. Alguses on tavaliselt kahjutu kontakt, kui SEABORGIUM ja TA453 püüavad luua suhteid oma ohvriga, et võita nende usaldus. Eksperdid märgivad, et see võib kesta pikka aega. Häkkerid saadavad seejärel pahatahtliku lingi, manustavad selle e-kirja või jagatud dokumenti aadressile Microsoft Üks Drive või Google Drive.
Keskel küberturvalisus teatas, et "ühel juhul [TA453] korraldas isegi Zoomi kõne, et jagada kõne ajal vestluses pahatahtlikku URL-i." Samuti on teatatud mitme võltsitud identiteedi kasutamisest ühes andmepüügirünnakus, et suurendada usutavust.
Linkide järgimine viib ohvri tavaliselt ründajate kontrollitavale võlts-sisselogimislehele ja pärast nende mandaatide sisestamist häkitakse ta sisse. Häkkerid pääsevad seejärel ligi oma ohvrite e-posti postkastidele, et varastada e-kirju, manuseid ja suunata sissetulevad kirjad nende kontodele ümber. Lisaks kasutavad nad ohustatud meilis salvestatud kontakte, et leida järgmistes rünnakutes uusi ohvreid ja alustada protsessi uuesti.
Mõlema rühma häkkerid kasutavad võltsitud ID-de loomiseks tavaliste meiliteenuse pakkujate kontosid, kui nad esimest korda sihtmärgiga suhtlevad. Nad lõid ka näiliselt legitiimsetele organisatsioonidele võltsitud domeene. Ettevõte alates küberturvalisus Proofpoint, mis on Iraani TA2020 gruppi jälginud alates 453. aastast, kordab suuresti NCSC järeldusi: "[TA453] kampaaniad võivad alata nädalaid kestvate sõbralike vestlustega häkkerite loodud kontodega, enne kui hakatakse häkkima." Samuti märkisid nad, et grupi teiste sihtmärkide hulka kuulusid meditsiiniteadlased, kosmoseinsener, kinnisvaramaakler ja reisibürood.
Lisaks andis ettevõte välja järgmise hoiatuse: „Rahvusvahelise julgeoleku küsimustega tegelevad teadlased, eriti Lähis-Ida või tuumajulgeoleku uuringutele spetsialiseerunud teadlased, peaksid soovimatute e-kirjade saamisel olema valvsad. Näiteks peaksid eksperdid, kellega ajakirjanikud ühendust võtavad, kontrollima väljaande veebisaiti, et veenduda, et e-posti aadress kuulub seaduslikule reporterile.
Huvitav ka: