Američki vojni veterani na meti iranskih državnih hakera

Hakeri koje podupire iranska vlada pokušavaju zaraziti američke vojne veterane zlonamjernim softverom uz pomoć zlonamjerne web stranice, izvijestili su u utorak istraživači sigurnosne tvrtke Cisco Talos.

Web stranica, koja se nalazi na adresi hiremilitaryheroes[.]com (na gornjoj slici), nudi lažnu aplikaciju za stolna računala za preuzimanje, u nade da će ga američki vojni veterani preuzeti i instalirati, vjerojatno kako bi dobili pristup ponudama poslova.

Ali istraživači Cisco Talosa kažu da aplikacija samo instalira zlonamjerni softver na sustave korisnika i prikazuje poruku o pogrešci, što ukazuje da instalacija nije uspjela.

Malware je kombinacija infostealer-a i RAT-a

Iza kulisa, zlonamjerni softver nastavlja djelovati na računalima žrtava, prikuplja informacije o tehničkim specifikacijama sustava i šalje podatke u pretinac Gmaila koji kontrolira napadač.

Vrsta podataka koje zlonamjerni softver prikuplja uključuje informacije o sustavu, razini zakrpe, broju procesora, mreži konfiguracija, hardver, verzije firmvera, kontroler domene, ime administratora, popis računa, datum, vrijeme, upravljački programi, itd..

"Ovo je značajna količina informacija koja se odnosi na stroj i čini napadača dobro pripremljenim za izvršenje dodatne napade", rekli su Warren Mercer, Paul Rascagneres i Jungsoo An, tri istraživača Cisco Talosa koji su analizirali malware.

Ali osim komponente za prikupljanje podataka, zlonamjerni softver također instalira trojanac za daljinski pristup (RAT), vrstu zlonamjernog softvera koji napadačima može dopustiti pristup preko zaraženog sustava.

Prema izvješće Cisco Talosa, RAT komponenta može pokretati datoteke preuzete s interneta, izvršavati naredbe ljuske i uklanjati se s glavnog računala, ako je potrebno.

Hakeri najvjerojatnije ciljaju djelatne vojnike, a ne veterane

U svjetlu toga, čini se da je opći modus operandi hakera korištenje lažnog zapošljavanja vojnih veterana web-stranicu za zarazu žrtava, a zatim odaberite koju metu žele i preuzmite dodatne nosivosti.

U intervjuu o dubokoj pozadini sa ZDNet -- jer nije bio ovlašten govoriti za agenciju -- analitičar DHS-a za kibernetičku sigurnost rekao je da napadači očito napadaju vojne mreže.

"Hakeri ne ciljaju na veterane, već na one koji će uskoro postati", rekao je. “Oni ciljaju na aktivne vojnike koji traže posao kada im prestane služba.

"Oni [hakeri] se nadaju da će jedna od njihovih meta koristiti DOD sustav za preuzimanje i pokretanje zlonamjernog softvera", dodao je. “Male su šanse, ali vrijedi pokušati.

"Prilično pametan pristup, ako mogu tako reći."

Operacija povezana s grupom Tortoiseshell

Cisco Talos je rekao da nema nikakvih detalja o metodama koje su hakeri koristili za širenje poveznica na ovo web mjesto i prevaru žrtava da instaliraju zlonamjerni softver. Također je moguće da su istraživači uhvatili ovu stranicu prije nego što je bila aktivno spamirana veteranima.

Talosov tim je ovu kampanju povezao i s radom nedavno otkrivene državne agencije hakerska skupina pod imenom Tortoiseshell, za koju se vjeruje da djeluje pod zaštitom Iranca vlada.

Malo se zna o ovoj skupini čije je djelovanje tek nedavno izašlo u prvi plan, nakon objave izvješće Symanteca prošli tjedan.

Prema Symantecu, skupina je već viđena angažirana napadi lanca opskrbe na 11 IT pružatelja usluga sa sjedištem u Saudijskoj Arabiji. Vjeruje se da je svrha ovih napada bila korištenje infrastrukture tih 11 tvrtki za ispuštanje zlonamjernog softvera na mreže njihovih kupaca.

Više detalja o operacijama ove grupe vjerojatno će se pojaviti sljedećih mjeseci. Drugi dobavljač cyber-sigurnosti CrowdStrike prati ovu grupu pod drugim imenom Imperial Kitten, po ovu proračunsku tablicu koja prikuplja podatke o svim operacijama hakiranja u nacionalnim državama. S druge strane, tvrtka za kibernetičku sigurnost FireEye vjeruje da ova grupa zapravo nije nova, već pododjel starijeg APT35.

U veljači 2019. američki dužnosnici službeno su optužili bivšu obavještajnu agenticu američkog ratnog zrakoplovstva za izdaju nakon što je pobjegla u Iran 2013. kasnije je radio kako bi pomogao hakerskim ekipama iranske vlade da ciljaju i hakiraju bivše kolege iz Zračnih snaga.