Иранские хакеры атаковали американских военных через Facebook
16/07/21
Связываемая с Ираном киберпреступная группировка Tortoiseshell расширила свой список жертв, добавив в него представителей новых сфер деятельности из разных стран.
По данным специалистов Facebook, в последнее время Tortoiseshell атакует военных, а также оборонные и авиакосмические организации преимущественно в США. Кроме того, хакеры (хотя и в меньшей степени) атакуют жертв в Великобритании и Европе, что свидетельствует об эскалации их кибершпионских операций.
Активная с 2018 года группировка Tortoiseshell ранее атаковала IT-организации в странах Среднего Востока, в основном в Саудовской Аравии, с помощью бэкдора Syskit, собирающего со скомпрометированного компьютера различную информацию и отправляющего ее на подконтрольный злоумышленникам C&C-сервер.
В 2019 году компания Cisco Talos раскрыла проводимую Tortoiseshell вредоносную кампанию против военных ветеранов в США с использованием Syskit. Хакеры развернули поддельные сайты, якобы помогающие ветеранам в поисках работы, но на самом деле заражал их устройства шпионским и другим вредоносным ПО.
Теперь же специалисты Facebook сообщили о принятых мерах против аналогичных атак против иранской киберпреступной группировки, которая с помощью соцсети Facebook обманом заставляла жертв загружать вредоносное ПО. Кампания была нацелена на пользователей в США и частично в Великобритании и Европе.
Наблюдаемая Facebook активность была частью более обширной межплатформенной кибершпионской операции, в которой соцсеть использовалась только в рамках социальной инженерии, а не для прямой доставки вредоносного ПО. Затем жертвы заманивались за пределы платформы для заражения.
В рамках вредоносной операции хакеры Tortoiseshell зарегистрировали поддельные профили на различных платформах, через которые связывались с нужными лицами и обманным образом заставляли их нажать на вредоносные ссылки. Злоумышленники использовали разные платформы и в некоторых случаях «обрабатывали» жертву в течение нескольких месяцев.
Хакеры выдавали себя за рекрутеров и сотрудников оборонных и авиакосмических предприятий, журналистов, представителей некоммерческих организаций, а также гостиничного бизнеса, учреждений здравоохранения и авиакомпаний.
Группировка использует кастомные вредоносные программы, в том числе трояны для удаленного доступа, инструменты для сбора разведданных, кейлоггеры и модифицированные версии Syskit. Разработчиком одного из инструментов предположительно является тегеранская IT-компания Mahak Rayan Afraz (MRA), связанная с Корпусом стражей исламской революции.