Іранські хакери 18 місяців видавали себе за інструкторку з аеробіки, щоб поширити вірус

Олександр Гайдамашко

Джерело:

Proofpoint

Іранські хакери 18 місяців видавали себе за інструкторку з аеробіки

Ілюстративне фото / Sergey Zolkin

Група хакерів TA456, також відома під назвами Tortoiseshell і Imperial Kitten, 18 місяців входила в довіру до працівників різних компаній, щоб у зручний момент заразити їхні комп'ютери вірусом. Для цього вони вигадали інструкторку з аеробіки Марселлу Флорес.

Сторінка вигаданої особи велася на Facebook. Ціллю зловмисників були компанії-підрядники, що працюють у сфері повітряно-космічної оборони США, особливо ті, хто бере участь в операціях на Близькому Сході.

Цікаво Директора Huawei негайно звільнили після публічної образи в адресу Ілона Маска

Марселла Флорес – особа, якої не існувало

Сторінка Марселли Флорес
Сторінка Марселли Флорес у Facebook / Фото Proofpoint

Дослідники пишуть, що для атаки ще у 2019 році хакери створили в Facebook і Instagram профіль Марселли Флорес, яка нібито була інструктором з аеробіки.

Хакери не поспішали і витратили місяці на встановлення контакту зі своїми цілями, листуючись з ними поштою і в особистих повідомленнях, перш ніж перейти до спроб запустити вірус до комп'ютерів.

Лише на початку 2021 року зловмисники використали обліковий запис Gmail для атаки.
З цієї адреси вже давно тривало листування, тому жертви довіряли їй. Раніше вони отримували різноманітні опитування, що стасувались дієти, або відеофайли.

Опитування від Марселли Флорес
Опитування про раціон від Марселли Флорес / Фото Proofpoint

Вірус Lempo

Приманка використовувалася для поширення оновленої версії віруса Lideric, яку дослідники називають Lempo.
Lempo таємно закріплюється в системі жертви, дозволяючи зловмисникам шукати і викрадати конфіденційну інформацію, включаючи імена користувачів і паролі.
У Proofpoint зазначають, що неможливо сказати напевно, чи були ці атаки успішними.
У теорії, викрадені облікові дані могли допомогти зловмисникам розвивати атаки і шпигунські кампанії далі.
Крадіжка даних у підрядників, що працюють у сфері оборонної промисловості, могла дати хакерам можливість просунутися далі по ланцюжку поставок і отримати доступ до мереж оборонних та аерокосмічних компаній.

Зараз профіль Марселли Флорес деактивовано.

Раніше у Facebook повідомляли про ліквідацію складної кібершпигунської кампанії, за якою стояло іранське угруповання Tortoiseshell. За даними фахівців соціальної мережі, кампанія була спрямована проти 200 військовослужбовців і компаній оборонного й аерокосмічного секторів у США, Великій Британії та Європі. Для атак хакери використовували "велику мережу" підроблених онлайн-особистостей.