Трудоустроим ветеранов: как Иран вербует американских военных

Журналист журнала Wired Энди Гринберг в своей статье пишет о том, как Facebook удалось разоблачить масштабную хакерскую кампанию Ирана, целью которой было получение доступа к персональным данным американских и европейских военных.

Если вы американский военный, месяцами получавший приветливые сообщения в Facebook от рекрутеров, представляющих частный сектор, которые обещали отличное будущее в компаниях—подрядчиках в аэрокосмической и оборонной отраслях, то у Facebook для вас плохие новости.

В четверг гигант социальных сетей сообщил, что отследил и, по крайней мере, отчасти остановил продолжительную иранскую хакерскую кампанию, в рамках которой учетные записи Facebook использовались, чтобы выдавать себя за рекрутеров, которые окучивали своих потенциальных жертв в США сетями социальной инженерии, а затем отправляли им файлы с вредоносным ПО, открывавшим доступ к конфиденциальным учетным данным. Facebook сообщает, что хакеры также делали вид, что работают в медицинской сфере, журналистике, в неправительственных организациях или авиакомпаниях, иногда месяцами общаясь посредством различных профилей в соцсетях.. И, в отличие от ряда предыдущих случаев такой охоты Ирана на соседей, эта кампания была направлена прежде всего на американцев и на жителей Великобритании и Европы.

В Facebook заявили, что по итогам внутреннего расследования, удалили “по меньшей мере 200” фейковых эккаунтов, а также предупредили об опасности примерно такое же количество пользователей Facebook . “Наше расследование показало, что наша сеть стала частью масштабной шпионской операции, которая проводилась с применением фишинга, социальной инженерии, поддельных веб-сайтов и вредоносных доменов на нескольких платформах социальных сетей, по электронной почте и прочих сайтах”, — сообщил журналистам директор по угрозам Facebook Дэвид Агранович.

Facebook идентифицировал хакеров, как группировку Tortoiseshell, которая, по непроверенным данным, работает на иранское правительство. Группировка, схожая с другими более известными иранскими группировками APT34 и APT35 , появилась в 2019 г. Тогда компания Symantec обратила внимание на хакеров, атаковавших Саудовскую Аравию. Арабские IТ-провайдеры тогда подверглись кибенападению, целью которого было заражение клиентов вредоносным софтом Syskit. Facebook обнаружил то же вредоносное ПО в ходе последней хакерской кампании, но уже с большим количеством инструментов заражения в США и других западных странах.

В компании Mandiant, специализирующейся на кибербезопасности, отметили, что Tortoiseshell предпочла атаке социальную инженерию, закинув удочку в соцсети еще в 2018 г. “Действовали они не только в Facebook, — говорит вице-президент Mandiant Джон Халтквист. — Начиная с самых ранних операций, они компенсируют простые технические методы сложными схемами для социальных сетей, что является той сферой, в которой Иран действительно хорош”.

В 2019 г. подразделение специалистов по вопросам безопасности Cisco Talos нашло у Tortoiseshell фальшивый сайт для ветеранов под названием Hire Military Heroes, предназначенный для того, чтобы обманом заставить ее жертв установить на свой компьютер приложение с вредоносным ПО. Крейг Уильямс, глава группы специалистов Talos, сообщил, что и фейковый сайт, и масштабная кампания в Facebook, являются иллюстрацией того, как военнослужащие, пытающиеся найти работу в частном секторе, стали отличной мишенью для шпионов. “Проблема в том, что ветераны, которые уходят в мир коммерции, — это серьезная индустрия, — говорит Уильямс. — Плохие парни могут найти людей, которые могут ошибиться и которых могут привлечь такого плана предложения”.

Facebook предупредил о том, что группировка даже сделала фейковый сайт Министерства труда США. И компания также предоставила список фейковых доменов группировки, которые выдавали себя за сайты новостных СМИ, версии YouTube и LiveLeak, а также множество различных URL-адресов, связанных с семьей Трампа и его организацией.

Facebook связывает полученный код вредоносного софта группировки с конкретным IT-подрядчиком из Тегерана Махаком Райаном Афразом, который в свое время снабжал таким ПО Корпус стражей исламской революции (КСИР). Это первое доказательство того, что Tortoiseshell связана правительством.

Еще в 2019 г. Symantec отметила, что группировка использовала некоторые инструменты, также применявшиеся иранской APT34, которая многие годы применяла такие ловушки в соцсетях Facebook и LinkedIn.

Впрочем, угроза от хакерских операций Ирана может оказаться не столь значительной в результате новой политики администрации Байдена – отказа от конфронтационного курса бывшего президента Трампа. Напротив, президент Байден дал понять, что надеется вернуться к сделке времен Обамы, заморозившей на время ядерные амбиции Ирана и ослабившей напряженность в отношениях с этой страной.

https://www.dsnews.ua/

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *