Los piratas informáticos vinculados al gobierno iraní han sido vinculados a una campaña en curso de ingeniería social y phishing de credenciales dirigida contra activistas de derechos humanos, periodistas, investigadores, académicos, diplomáticos y políticos que trabajan en el Medio Oriente.
Se cree que al menos 20 personas fueron atacadas, dijo Human Rights Watch (HRW) en un informe publicado el lunes, atribuyendo la actividad maliciosa a un colectivo adversario rastreado como APT42, que se sabe que comparte superposiciones con Charming Kitten (también conocido como APT35 o Fósforo).
La campaña resultó en el compromiso del correo electrónico y otros datos confidenciales pertenecientes a tres de los objetivos. Esto incluyó a una corresponsal de un importante periódico estadounidense, una defensora de los derechos de las mujeres con sede en la región del Golfo y Nicholas Noe, un consultor de defensa de Refugees International con sede en el Líbano.
La irrupción digital implicó obtener acceso a sus correos electrónicos, almacenamiento en la nube, calendarios y contactos, así como exfiltrar todos los datos asociados con sus cuentas de Google en forma de archivos a través de Comida para llevar de Google.
“Los piratas informáticos respaldados por el estado de Irán están utilizando agresivamente ingeniería social sofisticada y tácticas de recopilación de credenciales para acceder a información confidencial y contactos en poder de investigadores y grupos de la sociedad civil centrados en Oriente Medio”, Abir Ghattas, director de seguridad de la información de Human Rights Watch, dijo.
La cadena de infección comienza cuando los objetivos reciben mensajes sospechosos en WhatsApp con el pretexto de invitarlos a una conferencia y atraer a las víctimas para que hagan clic en una URL maliciosa que capturó sus cuentas de Microsoft, Google y Yahoo! credenciales de acceso.
Estas páginas de phishing también son capaces de orquestar ataques de adversario en el medio (AiTM), lo que hace posible violar cuentas que están protegidas por autenticación de dos factores (2FA) que no sea una clave de seguridad de hardware.
Se confirma que 15 de las personas de alto perfil objetivo recibieron los mismos mensajes de WhatsApp entre el 15 de septiembre y el 25 de noviembre de 2022, dijo la organización no gubernamental internacional.
HRW señaló además las deficiencias en Google’s protecciones de seguridadya que las víctimas del ataque de phishing “no se dieron cuenta de que sus cuentas de Gmail se habían visto comprometidas o de que se había iniciado Google Takeout, en parte porque las advertencias de seguridad en la actividad de la cuenta de Google no envían ni muestran ninguna notificación permanente en la bandeja de entrada de un usuario ni envían un mensaje push a la aplicación de Gmail en su teléfono”.
La opción de solicitar datos de Google Takeout se alinea con un programa basado en .NET llamado HYPERSCRAPE que fue documentado por primera vez por el Grupo de Análisis de Amenazas (TAG) de Google a principios de agosto, aunque HRW dijo que no podía confirmar si la herramienta se empleó en este incidente específico.
La atribución a APT42 se basa en la superposición del código fuente de la página de phishing con el de otra página de registro falsificada que, a su vez, estaba asociada a un ataque de robo de credenciales montado por un actor de Iran-nexus (también conocido como TAG-56) contra un grupo de expertos estadounidense sin nombre.
“Es muy probable que la actividad de la amenaza sea indicativa de una campaña más amplia que utiliza acortadores de URL para dirigir a las víctimas a páginas maliciosas donde se roban las credenciales”, Recorded Future revelado a finales del mes pasado. “Este oficio es común entre los grupos de amenazas persistentes avanzadas (APT) de Irán-nexus como APT42 y Phosphorus”.
Además, el mismo código se conectó a otro dominio utilizado como parte de un ataque de ingeniería social atribuido al grupo Charming Kitten e interrumpido por Google TAG en octubre de 2021.
Vale la pena señalar que, a pesar de los vínculos de APT35 y APT42 con el Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), este último está más orientado a individuos y entidades con “propósitos de política interna, política exterior y estabilidad del régimen”, según Mandiant.
“En una región de Medio Oriente plagada de amenazas de vigilancia para los activistas, es esencial que los investigadores de seguridad digital no solo publiquen y promuevan los hallazgos, sino que también prioricen la protección de los activistas, periodistas y líderes de la sociedad civil de la región”, dijo Ghattas.