Nacionālais centrs kiberdrošība Lielbritānijas (NCSC) ziņo par regulāriem kiberuzbrukumiem, ko veikuši hakeri no Krievijas un Irānas.
Saskaņā ar eksperta ziņojumu hakeru grupas SEABORGIUM (pazīstams arī kā Callisto Group/TA446/COLDRIVER/TAG-53) un TA453 (aka APT42/Charming Kitten/Yellow Garuda/ITG18) izmanto mērķtiecīgas pikšķerēšanas metodes, lai uzbruktu iestādēm un privātpersonām ar mērķi informācijas vākšanu.
Lai gan šīs divas grupas nav savstarpēji saistītas, kaut kā tās ir nošķirtas viena no otras uzbrukums tāda paša veida organizācijas, kuru vidū pērn bija valsts iestādes, nevalstiskās organizācijas, aizsardzības un izglītības nozaru organizācijas, kā arī privātpersonas, piemēram, politiķi, žurnālisti un aktīvisti.
Mērķtiecīga pikšķerēšana ir, tā sakot, izsmalcināts paņēmiens pikšķerēšana, kad uzbrucējs vēršas pret konkrētu personu un izliekas, ka viņam ir informācija, kas īpaši interesē viņa upuri. SEABORGIUM un TA453 gadījumā viņi par to pārliecinās, izpētot brīvi pieejamos resursus, lai uzzinātu par savu mērķi.
Abas grupas veidoja viltus profilus sociālajos medijos un uzdevās par upuru paziņām vai savas jomas ekspertiem un žurnālistiem. Sākumā parasti notiek nekaitīgs kontakts, jo SEABORGIUM un TA453 cenšas veidot attiecības ar upuri, lai iegūtu viņu uzticību. Eksperti atzīmē, ka tas var ilgt ilgu laiku. Hakeri pēc tam nosūta ļaunprātīgu saiti, iegulst to e-pastā vai koplietotā dokumentā uz Microsoft Viens disks vai Google disks.
Centrā kiberdrošība ziņoja, ka "vienā gadījumā [TA453] pat organizēja Zoom zvanu, lai sarunas laikā tērzēšanā kopīgotu ļaunprātīgu URL." Ir ziņots arī par vairāku viltotu identitātes izmantošanu vienā pikšķerēšanas uzbrukumā, lai palielinātu ticamību.
Sekojot saitēm, upuris parasti tiek novirzīts uz viltus pieteikšanās lapu, kuru kontrolē uzbrucēji, un pēc viņu akreditācijas datu ievadīšanas tie tiek uzlauzti. Hakeri pēc tam piekļūst savu upuru e-pasta iesūtnēm, lai nozagtu e-pastus, pielikumus un novirzītu ienākošos e-pastus uz viņu kontiem. Turklāt viņi izmanto apdraudētajā e-pastā saglabātās kontaktpersonas, lai atrastu jaunus upurus turpmākajos uzbrukumos un sāktu procesu no jauna.
Hakeri no abām grupām izmanto kontus no izplatītiem e-pasta pakalpojumu sniedzējiem, lai izveidotu viltotus ID, kad tie pirmo reizi mijiedarbojas ar mērķi. Viņi arī izveidoja viltus domēnus šķietami likumīgām organizācijām. Uzņēmums no kiberdrošība Proofpoint, kas ir izsekojis Irānas TA2020 grupu kopš 453. gada, lielā mērā sasaucas ar NCSC atklājumiem: "[TA453] kampaņas var sākties ar nedēļu ilgām draudzīgām sarunām ar hakeru izveidotiem kontiem, pirms mēģināt uzlauzt." Viņi arī atzīmēja, ka citi grupas mērķi bija medicīnas pētnieki, kosmosa inženieris, nekustamā īpašuma aģents un ceļojumu aģentūras.
Turklāt uzņēmums izdeva šādu brīdinājumu: "Pētniekiem, kas strādā ar starptautiskās drošības jautājumiem, īpaši tiem, kas specializējas Tuvo Austrumu vai kodoldrošības pētījumos, ir jāievēro pastiprināta modrība, saņemot nevēlamus e-pastus. Piemēram, ekspertiem, ar kuriem sazinās žurnālisti, ir jāpārbauda publikācijas vietne, lai pārliecinātos, ka e-pasta adrese pieder likumīgam reportierim.
Interesanti arī: