0 |
Исследователи Check Point раскрыли шестилетнюю крупномасштабную операцию по слежке, которую проводили иранские организации против оппозиции. Согласно тем свидетельствам, которые удалось собрать, хакеры, по всей видимости, действуют из Ирана и используют преимущества нескольких векторов атак.
Большинство жертв, которых удалось определить – граждане Ирана, поэтому похоже на то, что иранские хакеры собирают информацию о потенциальных оппозиционерах. И, скорее всего, жертв отбирают очень внимательно: атака направлена на конкретных людей. Как правило, следят за теми людьми, кто состоит в диссидентских организациях, например, таких как Mujahedin-e Khalq («Организация моджахедов иранского народа»).
Еще в 2014 г. хакеры использовали сразу несколько векторов атак для большей эффективности. Они стремились получить доступ к учетным записям Telegram и KeePass, извлекая коды двухфакторной аутентификации из SMS-сообщений, записывая звуки рядом со смартфоном. Кроме того, они распространяли фишинговые страницы в Telegram, маскируясь под службу поддержки мессенджера.
Хакеры использовали документы, содержащие вредоносное ПО. Его основная задача – украсть как можно больше информации с нужного устройства. Главные цели – Telegram Desktop и KeePass, известный менеджер паролей. Кроме того, зловред можетз агружать любые файлы с заданными расширениями, считывать и запоминать данные буфера обмена и делать скриншоты рабочего стола и пр.
В ходе расследования эксперты Check Point обнаружили вредоносное приложение для Android, связанное с теми же злоумышленниками. Приложение маскируется под сервис, помогающий носителям персидского языка получить водительские права в Швеции. Можно предположить, что целями атаки были иранцы, мигрировавшие в Европу. Бэкдор позволял: получить доступ к SMS-сообщениям и к личной информации, например, к контактам, данным учетных записей на смартфоне; пересылать SMS-сообщения с кодом для двухфакторной аутентификации на номер телефона злоумышленников; записывать все звуки поблизости смартфона.
На некоторых сайтах, связанных с атакующими, также размещались фишинговые страницы, имитирующие аккаунт поддержки Telegram. Несколько иранских Telegram-каналов даже выступили с предупреждениями о фишинговых сайтах, утверждая, что за теми стоит иранский режим. По данным каналов, подобные сообщения отправлял Telegram-бот: он предупреждал, что пользователи якобы неправильно используют Telegram и что их учетная запись будет заблокирована, если они не перейдут по ссылке – которая в итоге была фишинговой.
Дополнительную информацию о компании и ее решениях вы можете найти на специальной странице http://ko.com.ua/check_pointReady, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |