Іранські хакери 18 місяців видавали себе за інструкторку з аеробіки, щоб поширити вірус
Джерело:
ProofpointГрупа хакерів TA456, також відома під назвами Tortoiseshell і Imperial Kitten, 18 місяців входила в довіру до працівників різних компаній, щоб у зручний момент заразити їхні комп'ютери вірусом. Для цього вони вигадали інструкторку з аеробіки Марселлу Флорес.
Сторінка вигаданої особи велася на Facebook. Ціллю зловмисників були компанії-підрядники, що працюють у сфері повітряно-космічної оборони США, особливо ті, хто бере участь в операціях на Близькому Сході.
Цікаво Директора Huawei негайно звільнили після публічної образи в адресу Ілона Маска
Марселла Флорес – особа, якої не існувало
Сторінка Марселли Флорес у Facebook / Фото Proofpoint
- Дослідники пишуть, що для атаки ще у 2019 році хакери створили в Facebook і Instagram профіль Марселли Флорес, яка нібито була інструктором з аеробіки.
Хакери не поспішали і витратили місяці на встановлення контакту зі своїми цілями, листуючись з ними поштою і в особистих повідомленнях, перш ніж перейти до спроб запустити вірус до комп'ютерів.
- Лише на початку 2021 року зловмисники використали обліковий запис Gmail для атаки.
- З цієї адреси вже давно тривало листування, тому жертви довіряли їй. Раніше вони отримували різноманітні опитування, що стасувались дієти, або відеофайли.
Опитування про раціон від Марселли Флорес / Фото Proofpoint
Вірус Lempo
- Приманка використовувалася для поширення оновленої версії віруса Lideric, яку дослідники називають Lempo.
- Lempo таємно закріплюється в системі жертви, дозволяючи зловмисникам шукати і викрадати конфіденційну інформацію, включаючи імена користувачів і паролі.
- У Proofpoint зазначають, що неможливо сказати напевно, чи були ці атаки успішними.
- У теорії, викрадені облікові дані могли допомогти зловмисникам розвивати атаки і шпигунські кампанії далі.
- Крадіжка даних у підрядників, що працюють у сфері оборонної промисловості, могла дати хакерам можливість просунутися далі по ланцюжку поставок і отримати доступ до мереж оборонних та аерокосмічних компаній.
Зараз профіль Марселли Флорес деактивовано.
Раніше у Facebook повідомляли про ліквідацію складної кібершпигунської кампанії, за якою стояло іранське угруповання Tortoiseshell. За даними фахівців соціальної мережі, кампанія була спрямована проти 200 військовослужбовців і компаній оборонного й аерокосмічного секторів у США, Великій Британії та Європі. Для атак хакери використовували "велику мережу" підроблених онлайн-особистостей.