Charmantes Kätzchen APT
Charming Kitten, auch bekannt als APT35 , ist eine Advanced Persistent Threat, eine Hackergruppe mit mutmaßlichen Verbindungen zum Iran. Die Gruppe ist auch unter anderen Namen bekannt: Phosphorus, Ajax Security Team und Newscaster Team. Es wurde beobachtet, dass Charming Kitten politisch motivierte Kampagnen hat, aber auch solche, die aus finanziellen Gründen motiviert sind. Sie zielen auf Menschenrechtsaktivisten, Medienorganisationen und den akademischen Sektor ab. Die Mehrheit ihrer Kampagnen drängte auf Angriffe auf das Vereinigte Königreich, die Vereinigten Staaten, den Iran und Israel.
Inhaltsverzeichnis
Charmante Kätzchenkampagnen
Eine der umfangreicheren Operationen der Hackergruppe wurde 2017 gegen HBO durchgeführt. Die Cyberkriminellen haben etwa ein Terabyte an Daten mit persönlichen Informationen über die Mitarbeiter des Unternehmens, bevorstehende Shows und mehr durchsickern lassen. Andere von Charming Kitten, alias APT35, inszenierte Angriffe umfassten den Zugriff auf detaillierte Daten durch einen Überläufer der US Air Force und das Spoofing der Website eines israelischen Cybersicherheitsunternehmens, um Anmeldedaten zu stehlen. Der Angriff, der sie mit dem Iran verband, war eine Operation im Jahr 2018, die sich gegen politische Aktivisten richtete und die Sanktionen gegen das Land beeinflusste. Agenten von Charming Kitten nutzten Phishing-E-Mails mit böswilligen Anhängen und Social Engineering, um sich als hochrangige Profis auszugeben.
Der iranische Blickwinkel für charmante Kätzchen
Gezielte Phishing-Kampagnen waren Teil der Geschäftstätigkeit von APT35 (Charming Kitten), wie die Kampagne von 2019 zeigt, die darauf abzielte, sich als ehemalige Journalisten des Wall Street Journal auszugeben. Sie nutzten diesen Ansatz, um ihre Krallen in ihre Opfer zu schlagen, mit dem Versprechen von Interviews oder Einladungen zu Webinaren, oft zu den damaligen Themen iranische und internationale Angelegenheiten.
In einem dieser Fälle erstellten die Angreifer eine E-Mail auf Arabisch unter der falschen Identität, die den echten Farnaz Fassihi nachahmte, einen ehemaligen Mitarbeiter des Wall Street Journal, der 17 Jahre lang für die Publikation arbeitete. Die Agenten von Charming Kitten präsentierten diese falsche Person als immer noch für WSJ arbeitend.
Gefälschte Interviewanfrage. Quelle: blog.certfa.com
Der Inhalt der E-Mail lautete wie folgt:
Hallo *** ***** ******
Mein Name ist Farnaz Fasihi. Ich bin Journalist bei der Zeitung Wall Street Journal.
Das Nahost-Team des WSJ beabsichtigt, erfolgreiche nicht-lokale Personen in Industrieländern vorzustellen. Ihre Aktivitäten in den Bereichen Forschung und Wissenschaftsphilosophie veranlassten mich, Sie als erfolgreiche Iranerin vorzustellen. Der Direktor des Nahost-Teams hat uns gebeten, ein Interview mit Ihnen zu vereinbaren und einige Ihrer wichtigen Errungenschaften mit unserem Publikum zu teilen. Dieses Interview könnte die Jugend unseres geliebten Landes motivieren, ihre Talente zu entdecken und erfolgreich zu sein.
Selbstverständlich ist dieses Interview für mich persönlich eine große Ehre, und ich fordere Sie auf, meine Einladung zu diesem Interview anzunehmen.
Die Fragen werden professionell von einer Gruppe meiner Kollegen entworfen und das daraus resultierende Interview wird in der wöchentlichen Interview-Sektion des WSJ veröffentlicht. Ich sende Ihnen die Fragen und Anforderungen des Interviews, sobald Sie zustimmen.
*Fußnote: Nicht-lokal bezieht sich auf Personen, die in anderen Ländern geboren wurden.
Vielen Dank für Ihre Freundlichkeit und Aufmerksamkeit.
Farnaz Fasihi
Die Links in den E-Mails hatten ein kurzes URL-Format, das häufig von Angreifern verwendet wurde, um legitime Links dahinter zu verschleiern, mit dem Ziel, Daten zu IP-Adressen, Browser- und Betriebssystemversionen und mehr zu sammeln. Dies trug dazu bei, den Weg für weitere Angriffe zu ebnen, indem durch wiederholte Kommunikation Vertrauen aufgebaut und der Moment zum Handeln vorbereitet wurde.
Hat sich im Laufe der Zeit Vertrauen aufgebaut, versenden die Hacker einen Link, der die angeblichen Interviewfragen enthält. Die Proben des Computer Emergency Response Team in Farsi (CERTFA) zeigten, dass die Angreifer eine Methode verwendeten, die in den letzten Jahren von Phishern mit von Google Sites gehosteten Seiten verwendet wurde.
Sobald das Opfer den Link öffnet, wird es möglicherweise auf eine andere gefälschte Seite umgeleitet, die versucht, ihre Anmeldeinformationen und den Zwei-Faktor-Authentifizierungscode mithilfe eines Phishing-Kits aufzuzeichnen.
Zusammenfassung von Charming Kitten Operations
2015 wurde die erste Welle von Phishing-Angriffen von Forschern entdeckt, spätere Spionageoperationen in großem Umfang wurden von 2016 bis 2017 von Forschern bei ClearSky entdeckt. Die Betreiber von Charming Kitten nutzten Identitätswechsel, Spear-Phishing und Watering-Hole-Angriffe.
Im Jahr 2018 verfolgten Cyberkriminelle von Charming Kitten ClearSky mit einer betrügerischen Website, die sich als das Portal des Sicherheitsunternehmens ausgab. In diesem Jahr wurden weitere Angriffe auf Ziele im Nahen Osten mit einer gefälschten E-Mail-Kampagne und gefälschten Websites identifiziert.
Im Jahr 2019 wurden die Aktivitäten von Charming Kitten (APT35) erweitert, indem sie auf Nicht-Iraner in den USA, im Nahen Osten und in Frankreich abzielten, wobei sie auf Persönlichkeiten des öffentlichen Lebens außerhalb der ursprünglich angestrebten akademischen Feinde abzielten. Sie fingen an, einen Tracker an ihre E-Mail-Korrespondenz anzuhängen, um E-Mails zu verfolgen, die an andere Konten weitergeleitet wurden, um Geolokalisierungsdaten zu erhalten.
>>>Update 10. Mai 2020 – APT35 (Charming Kitten) an COVID-19-Hacking-Kampagne beteiligt
Eine Reihe von öffentlich zugänglichen Webarchiven, die von Cybersicherheitsexperten überprüft wurden, ergab, dass die iranische Hacking-Gruppe, die unter anderem als Charming Kitten bekannt ist, hinter einem Cyberangriff auf das in Kalifornien ansässige Pharmaunternehmen Gilead Sciences Inc. steckt, das an der COVID-19-Forschung beteiligt ist.
In einem der Fälle, auf die die Sicherheitsforscher stießen, verwendeten die Hacker eine gefälschte E-Mail-Anmeldeseite, die speziell darauf ausgelegt war, Passwörter von einem Top-Manager von Gilead zu stehlen, der in Unternehmens- und Rechtsangelegenheiten involviert war. Der Angriff wurde auf einer Website gefunden, die zum Scannen von Webadressen auf bösartige Aktivitäten verwendet wird, aber die Forscher konnten nicht feststellen, ob er erfolgreich war.
Einer der Analysten, der den Angriff untersuchte, war Ohad Zaidenberg von der israelischen Cybersicherheitsfirma ClearSky. Er kommentierte, dass der April-Angriff auf Gilead ein Versuch war, E-Mail-Konten von Unternehmen mit einer Nachricht zu kompromittieren, die eine Journalistenanfrage imitierte. Andere Analysten, die nicht berechtigt waren, sich öffentlich zu äußern, haben inzwischen bestätigt, dass der Angriff Domänen und Server verwendet hat, die zuvor von der iranischen Hacking-Gruppe Charming Kitten verwendet wurden.
Trenddiagramm der APT-Hackergruppen – Quelle: Securitystack.co
Die diplomatische Vertretung des Iran bei den Vereinten Nationen hat jegliche Beteiligung an solchen Angriffen bestritten, wobei Sprecher Alireza Miryousefi erklärte, dass „die iranische Regierung sich nicht an Cyber-Kriegsführung beteiligt“, und fügte hinzu: „Cyber-Aktivitäten, an denen der Iran beteiligt ist, sind rein defensiv und dienen dem Schutz vor weiteren Angriffen auf iranische Infrastruktur."
Gilead hat sich an die Unternehmensrichtlinie zur Erörterung von Cybersicherheitsangelegenheiten gehalten und lehnte eine Stellungnahme ab. Das Unternehmen hat in letzter Zeit viel Aufmerksamkeit auf sich gezogen, da es der Hersteller des antiviralen Medikaments Remdesivir ist, das derzeit die einzige Behandlung ist, die nachweislich Patienten hilft, die mit COVID-19 infiziert sind. Gilead ist auch eines der führenden Unternehmen in der Forschung und Entwicklung einer Behandlung für die tödliche Krankheit, was es zu einem Hauptziel für das Sammeln von Informationen macht.
