Национальное кибердиректорат Израиля (INCD) недавно выявил все более отчаянные попытки Ирана набрать израильтян и проникнуть в организации. Соблазнительные и персонализированные предложения о работе от Rafael, появляющиеся на LinkedIn с подозрительными ссылками, электронные письма от INCD с призывом загрузить обновление безопасности, предложения получить значительную сумму денег за заполнение личных данных по ссылке и приглашения исследователям на академические конференции с ссылками, наносящими вред компьютеру — эти и другие попытки иранских хакерских групп, выявленные недавно Национальным кибердиректоратом, нацелены на израильтян и организации, указывая на тенденцию.
«Иранские попытки стали более изощренными, более целенаправленными и действительно адаптированными к интересам цели», — говорит Том Александрович, руководитель отдела технологической защиты в INCD. «Фишинговые сообщения основаны на сборе информации и глубоких исследованиях и включают вредоносный файл или ссылку для ввода личных данных. Однако с небольшой бдительностью все еще можно выявить признаки.»
С начала конфликта наблюдается резкий рост фишинговых кампаний, нацеленных на субъекты в Израиле. Согласно данным INCD, было выявлено как минимум 15 различных кампаний, исходящих от различных иранских групп атак, известных под прозвищами «Черная Тень» и «Мутная Вода». Каждая кампания отправляет тысячи целенаправленных электронных писем различным компаниям и организациям частного и государственного секторов. Рост указывает на то, что иранцы ищут точку опоры в организациях, и фишинговые сообщения — обычный метод начала кибератаки, если цель действительно открывает дверь для атакующего. После первичной инфицированности злоумышленники стремятся проникнуть вглубь организации и подобных сущностей, используя информацию и инструменты, украденные или внедренные во время первичной инфицированности.
За сообщениями, выявленными в последние месяцы, стоят хакерские группы, работающие на иранское правительство, некоторые из которых даже действуют на «аутсорсинговой» основе через частные компании в Тегеране. Группы действуют с целью нанесения ущерба, шпионажа, сбора информации и влияния.
Например, в последние месяцы ученые и исследователи в области Ближнего Востока получали казалось бы рутинные сообщения от исследователей из-за границы, задающих вопросы о иранской арене. Сообщения, которые казались достоверными и фокусировались на областях интересов исследователя, приглашали их на встречи и конференции через Zoom, даже прикрепляя список легитимных участников для повышения достоверности. После выявления попыток расследование сообщений показало, что ссылка Zoom, отправленная исследователям, на самом деле содержала вредоносное программное обеспечение.
Еще одним интересным примером, выявленным недавно, являются целенаправленные подходы на LinkedIn, которые казалось бы поступали от рекрутеров в «Rafael» с ссылкой на отправку резюме. Ссылка приводила к загрузке файла и запросу заполнить пароль. Файл затем активировался и загружал еще два файла, которые предоставляли злоумышленнику доступ к рабочему месту и сети организации.
«Содержание сообщений часто адаптировано на основе информации, собранной из различных источников в сети, создавая профиль организации и ее сотрудников. Фразеология на иврите улучшается, и сегодня возможно отправлять сообщения из реального почтового ящика легитимных организаций, одного из сотрудников или выдавать себя за одного из поставщиков услуг в цепочке поставок», — поясняет Александрович.
Директорат принимает различные меры для решения проблемы, включая блокировку ссылок, руководство организации с высоким риском, прекращение цепочки инфицирования, издание предупреждений и обмен информацией об атаке.
