11/03/24
Иранская государственная группа хакеров, известная как «Lord Nemesis», не так давно провела кибератаку на израильскую компанию, разрабатывающую программное обеспечение для управления академическими учреждениями. По данным аналитиков, основной целью действий группы была не финансовая выгода, а простой хактивизм, направленный на запугивание израильских организаций.
В ноябре прошлого года хакеры проникли в систему компании Rashim Software, а затем использовали полученные учётные данные для доступа к сетям клиентов этой компании, включая многочисленные академические институты, пишет Securitylab.
Это событие привлекло внимание израильских ИБ-компаний к деятельности иранских государственно поддерживаемых хакеров, особенно после начала военных действий в Газе в октябре 2023 года, учитывая поддержку Ираном палестинской группировки ХАМАС.
Аналитики из OP Innovate, исследовавшие инцидент, отмечают, что хакеры стремились максимизировать психологическое воздействие на своих жертв. Их методы включали тайное проникновение в сети, похищение данных и поэтапное распространение конфиденциальной информации в Интернете, включая личные фотографии и видео сотрудников.
Дизайн веб-сайта «Lord Nemesis», изображающий зловещего тёмного лорда, также подчёркивает их стремление к театрализации своей активности.
«По прошествии десятков часов с момента официального объявления о взломе компании Rashim и их клиентов, у нас по-прежнему есть полный доступ к инфраструктуре, и мы можем отправить вам сообщение с официального электронного адреса компании», — похвастались хакеры в своей почтовой рассылке.
«Lord Nemesis» связывается исследователями с ранее идентифицированной группой «Nemesis Kitten» и входит в число нескольких группировок, поддерживаемых Тегераном, включая «Cobalt Mirage», «APT35» и «Charming Kitten», против которых США ввели санкции и предприняли юридические действия в 2022 году за связь с Корпусом стражей исламской революции Ирана.
Отчёт OP Innovate не раскрывает, каким образом хакеры впервые проникли в Rashim Software, но указывает на то, что злоумышленникам удалось обойти многофакторную аутентификацию через Office365, расширив свое присутствие до клиентов Rashim.
Хакеры продолжали «путешествовать» по взломанной сети до 4 марта, опубликовав в Интернете точное описание своей атаки, множество личных файлов сотрудников и писем-угроз, что является весьма необычным методом атаки для хактивистских групп. Эксперты считают, таким образом злоумышленники хотели показать свою власть и запугать представителей других израильских компаний.
