Bir siber güvenlik firmasının bildirdiğine göre, son derece becerikli bir İran devleti destekli hacker grubu, casus yazılım enjekte etmek için SMS metinleri yoluyla gönderilen VPN uygulamalarına kötü niyetli bağlantılar kullanıyor.
Mandiant, APT42’nin (gelişmiş kalıcı tehdit), hassas verileri toplamak ve kurbanları gözetlemek amacıyla 2015’ten beri “İran devletinin düşmanları” olarak tanımladıkları kişilere bu tür saldırılar düzenlediğine dair kanıtlar buldu.
Ayrıca, grubun Washington’un terör örgütü olarak belirlediği İslam Devrim Muhafızları İstihbarat Teşkilatı (IRGC-IO) ile uyumlu olduğunu “orta derecede bir güvenle” iddia ediyorlar.
Bu kötü amaçlı yazılım, yalnızca en iyi VPN hizmetlerinden bazılarının itibarının arkasına gizlenerek yayılmaz. İyi hazırlanmış kimlik avı e-postaları, ücretsiz mesajlaşma uygulamalarına yönelik yaramaz web sayfaları ve yalnızca yetişkinlere yönelik siteler de kullanıldı.
Endişe verici gerçek dünya riskleri oluşturan mobil kötü amaçlı yazılımlar
Mandiant olarak raporlar (yeni sekmede açılır): “İran hükümetinin ilgisini çeken bireyleri hedeflemek için Android kötü amaçlı yazılımlarının kullanılması, APT42’ye hareket, kişiler ve kişisel bilgiler dahil olmak üzere hedeflerle ilgili hassas bilgileri elde etmek için verimli bir yöntem sağlıyor.
“Grubun kanıtlanmış telefon görüşmelerini kaydetme, mikrofonu etkinleştirme ve sesi kaydetme, görüntüleri sızdırma ve komut üzerine fotoğraf çekme, SMS mesajlarını okuma ve kurbanın GPS konumunu gerçek zamanlı olarak izleme yeteneği. bireysel kurbanlar için gerçek dünya riski oluşturur bu kampanyanın.”
Araştırmacılar, yedi yıllık faaliyetini kapsayan, şimdiye kadar dünya çapında 14 ülkede 30’dan fazla onaylanmış operasyonu gözlemlediler. Ancak, toplam sayının bundan çok daha fazla olduğuna inanıyorlar.
Batılı düşünce kuruluşları, araştırmacılar, gazeteciler, mevcut Batılı hükümet yetkilileri, eski İran hükümet yetkilileri, muhalifler ve yurtdışındaki İran diasporası bu tür saldırıların kurbanları arasında yer aldı.
Mandiant bugün İranlı aktör APT42’nin ayrıntılarını açıklıyor. İran devletinin düşmanlarına karşı bir kampanya yürütüyorlar. Devrim Muhafızları ile bağlantılı olduklarına inanıyoruz. Bu, Arnavutluk saçmalıklarından tamamen ayrıdır. 1/x https://t.co/d4gyQQc88e7 Eylül 2022
Veri toplama ve gözetim işlemleri
APT42’nin kampanyalarının iki ana hedefi vardır: hedeflerin hassas verilerini toplamak kişisel e-posta kimlik bilgileri, çok faktörlü kimlik doğrulama kodları ve özel iletişim kayıtları gibi, kurbanların konum verilerini takip ederken büyük gözetleme operasyonları.
Grubun kurnaz oyun kitabı, nihayet kimlik avı e-postasını göndermeden önce birkaç hafta sürebilen bir sohbete katılarak, hedeflerin güvenini kazanıyor. Bir örnekte, bilgisayar korsanları, saldırıyı başlatmadan önce 37 gün boyunca ünlü bir ABD medya kuruluşu için çalışan gazeteciler gibi davrandı.
Mobil kötü amaçlı yazılım söz konusu olduğunda, APT42 katı hükümet kısıtlamalarını aşmak için araçlar arayan internet kullanıcılarını başarıyla hedef alıyor. Yani şarkı sözleri: Ve bitti İranlıların %80’i bu tür yazılımları çevrimiçi sansürden kaçmak için kullanıyor, vatandaşların güvenliği hiç bu kadar tehlikede olmamıştı.
Mandiant raporu ayrıca, geçen yıl Play Store’a sahte VPN uygulamalarıyla sızmayı başaran kötü şöhretli APT35 ile bağlantılı olduğuna inanılan grubun, stratejilerini ve hedeflerini İran’ın yerel ve jeopolitik çıkarlarıyla uyumlu hale getirmek için hızla şekillendirmede nasıl yetkin olduğuna dikkat çekti. .
APT42’nin, İran’ın gelişen operasyonel istihbarat toplama gereksinimleriyle uyumlu siber casusluk ve gözetleme operasyonları gerçekleştirmeye devam edeceğini büyük bir güvenle değerlendiriyoruz.”