Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Иранские хакеры атаковали американских военных через Facebook

16/07/21

hack iran-1Связываемая с Ираном киберпреступная группировка Tortoiseshell расширила свой список жертв, добавив в него представителей новых сфер деятельности из разных стран.

По данным специалистов Facebook, в последнее время Tortoiseshell атакует военных, а также оборонные и авиакосмические организации преимущественно в США. Кроме того, хакеры (хотя и в меньшей степени) атакуют жертв в Великобритании и Европе, что свидетельствует об эскалации их кибершпионских операций.

Активная с 2018 года группировка Tortoiseshell ранее атаковала IT-организации в странах Среднего Востока, в основном в Саудовской Аравии, с помощью бэкдора Syskit, собирающего со скомпрометированного компьютера различную информацию и отправляющего ее на подконтрольный злоумышленникам C&C-сервер.

В 2019 году компания Cisco Talos раскрыла проводимую Tortoiseshell вредоносную кампанию против военных ветеранов в США с использованием Syskit. Хакеры развернули поддельные сайты, якобы помогающие ветеранам в поисках работы, но на самом деле заражал их устройства шпионским и другим вредоносным ПО.

Теперь же специалисты Facebook сообщили о принятых мерах против аналогичных атак против иранской киберпреступной группировки, которая с помощью соцсети Facebook обманом заставляла жертв загружать вредоносное ПО. Кампания была нацелена на пользователей в США и частично в Великобритании и Европе.

Наблюдаемая Facebook активность была частью более обширной межплатформенной кибершпионской операции, в которой соцсеть использовалась только в рамках социальной инженерии, а не для прямой доставки вредоносного ПО. Затем жертвы заманивались за пределы платформы для заражения.

В рамках вредоносной операции хакеры Tortoiseshell зарегистрировали поддельные профили на различных платформах, через которые связывались с нужными лицами и обманным образом заставляли их нажать на вредоносные ссылки. Злоумышленники использовали разные платформы и в некоторых случаях «обрабатывали» жертву в течение нескольких месяцев.

Хакеры выдавали себя за рекрутеров и сотрудников оборонных и авиакосмических предприятий, журналистов, представителей некоммерческих организаций, а также гостиничного бизнеса, учреждений здравоохранения и авиакомпаний.

Группировка использует кастомные вредоносные программы, в том числе трояны для удаленного доступа, инструменты для сбора разведданных, кейлоггеры и модифицированные версии Syskit. Разработчиком одного из инструментов предположительно является тегеранская IT-компания Mahak Rayan Afraz (MRA), связанная с Корпусом стражей исламской революции.

Темы:FacebookСШАПреступленияИран
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...