Иранские хакеры маскировались под британских ученых

Иранские хакеры маскировались под британских ученых из Школы восточных и африканских исследований Лондонского университета (SOAS), следует из доклада компании по кибербезопасности Proofpoint, 15 июля сообщила израильская газета «The Jerusalem Post».

Целью хакеров было получение конфиденциальной информации от журналистов, экспертов аналитического центра и старших профессоров.

Proofpoint не смогла подтвердить, относятся ли хакеры, известные как TA453 или CHARMING KITTEN и PHOSPHORUS к Корпусу стражей исламской революции Ирана (КСИР). Атаки были нацелены на диссидентов, ученых, дипломатов и журналистов, говорится в докладе.

Хакерская группа использовала двух персонажей — доктора Ханса Бьорна Кенделя, старшего преподавателя и научного сотрудника Университета SOAS в Лондоне (SOAS University of London) и Толгу Синмаздемира, также связанного с SOAS, — чтобы вести переговоры с другими людьми.

В первоначальных электронных письмах, отправленных Кенделем, выставлялось приглашение на фальшивую онлайн-конференцию на тему «Вызовы безопасности США на Ближнем Востоке».

В одной из попыток хакеры попытались связаться по телефону, чтобы обсудить приглашение, но участник запросил письменное предложение с подробностями, поэтому хакеры предоставили конкретные детали. После недолгих разговоров ТА453 предоставил подробное приглашение и в конце концов попытался заставить участника подключиться через видеоконференцию.

Хакеры предоставляли целям персонализированные ссылки на законный, но скомпрометированный веб-сайт, принадлежащий SOAS.

Proofpoint отметил, что TA453 продемонстрировал сносные знания английского языка и, похоже, хотел связаться в режиме реального времени, даже запросив голосовую связь через видеоконференцию. Хакерская группа также выразила интерес к номерам мобильных телефонов, которые, по словам Proofpoint, могут быть использованы для мобильного вредоносного ПО или дополнительного фишинга (интернет-мошенничества).

Целевые категории хакеров — это люди, которые имеют информацию, представляющую интерес для иранского правительства, в том числе внешнеполитическую информацию, считают эксперты.

По данным BBC, SOAS заявила, что никакая личная информация не была доступна, и что ее собственные системы данных не были затронуты, поскольку скомпрометированный веб-сайт отделен от официального веб-сайта SOAS.

«Как только мы узнали о фиктивном сайте в начале этого года, мы немедленно исправили и сообщили о нарушении обычным способом. Мы рассмотрели, как это происходило, и предприняли шаги по дальнейшему улучшению защиты таких периферийных систем», — сообщили BBC в университете.

В апреле Proofpoint объявила, что TA453 нацелен на старших медицинских специалистов, специализирующихся на генетических, неврологических и онкологических исследованиях в США и Израиле. В этой кампании, получившей название BadBlood, хакеры использовали учетную запись Gmail, которая была представлена как принадлежащая известному израильскому физику и бывшему президенту Института науки Вейцмана Даниэлю Зайфману.

По сообщениям Reuters, TA453 также был ответственен за неудачный таргетинг на переизбрание бывшего президента США Дональда Трампа в 2019 году. Попытка взлома была нацелена на сотни учетных записей в облачном почтовом сервисе Microsoft. Четыре учетные записи, которые не были связаны с избирательной кампанией, были скомпрометированы.

Подразделение по борьбе с цифровыми преступлениями Microsoft и Центр разведки угроз Microsoft отслеживают TA453 с 2013 года.