Іранські хакери 18 місяців видавали себе за інструкторку з аеробіки, щоб поширити вірус

29 липня 2021, 21:02
Читать новость на русском

Джерело:

Proofpoint

Група хакерів TA456, також відома під назвами Tortoiseshell і Imperial Kitten, 18 місяців входила в довіру до працівників різних компаній, щоб у зручний момент заразити їхні комп'ютери вірусом. Для цього вони вигадали інструкторку з аеробіки Марселлу Флорес.

Сторінка вигаданої особи велася на Facebook. Ціллю зловмисників були компанії-підрядники, що працюють у сфері повітряно-космічної оборони США, особливо ті, хто бере участь в операціях на Близькому Сході.

Цікаво Директора Huawei негайно звільнили після публічної образи в адресу Ілона Маска

Марселла Флорес – особа, якої не існувало


Сторінка Марселли Флорес у Facebook / Фото Proofpoint

  • Дослідники пишуть, що для атаки ще у 2019 році хакери створили в Facebook і Instagram профіль Марселли Флорес, яка нібито була інструктором з аеробіки.

Хакери не поспішали і витратили місяці на встановлення контакту зі своїми цілями, листуючись з ними поштою і в особистих повідомленнях, перш ніж перейти до спроб запустити вірус до комп'ютерів.

  • Лише на початку 2021 року зловмисники використали обліковий запис Gmail для атаки.
  • З цієї адреси вже давно тривало листування, тому жертви довіряли їй. Раніше вони отримували різноманітні опитування, що стасувались дієти, або відеофайли.


Опитування про раціон від Марселли Флорес / Фото Proofpoint

Вірус Lempo

  • Приманка використовувалася для поширення оновленої версії віруса Lideric, яку дослідники називають Lempo.
  • Lempo таємно закріплюється в системі жертви, дозволяючи зловмисникам шукати і викрадати конфіденційну інформацію, включаючи імена користувачів і паролі.
  • У Proofpoint зазначають, що неможливо сказати напевно, чи були ці атаки успішними.
  • У теорії, викрадені облікові дані могли допомогти зловмисникам розвивати атаки і шпигунські кампанії далі.
  • Крадіжка даних у підрядників, що працюють у сфері оборонної промисловості, могла дати хакерам можливість просунутися далі по ланцюжку поставок і отримати доступ до мереж оборонних та аерокосмічних компаній.

Зараз профіль Марселли Флорес деактивовано.

Раніше у Facebook повідомляли про ліквідацію складної кібершпигунської кампанії, за якою стояло іранське угруповання Tortoiseshell. За даними фахівців соціальної мережі, кампанія була спрямована проти 200 військовослужбовців і компаній оборонного й аерокосмічного секторів у США, Великій Британії та Європі. Для атак хакери використовували "велику мережу" підроблених онлайн-особистостей.