Ερευνητές ασφαλείας αποκάλυψαν τις εσωτερικές λειτουργίες της hacking ομάδας που είναι γνωστή με την ονομασία «Domestic Kitten». Η Domestic Kitten, που είναι γνωστή και ως APT-C-50, ανακαλύφθηκε για πρώτη φορά το 2018 και συνδέεται με την Iρανική κυβέρνηση. Επιπλέον, η Ιρανική hacking ομάδα έχει συνδεθεί με επιθέσεις εναντίον εγχώριων πολιτών που θεωρείται ότι «θα μπορούσαν να αποτελέσουν απειλή για τη σταθερότητα του Ιρανικού καθεστώτος», σύμφωνα με την Check Point.
Ανάμεσα στα άτομα που στοχεύει η Ιρανική hacking ομάδα συγκαταλέγονται αντιφρονούντες του Ιρανικού καθεστώτος, ακτιβιστές πολιτικών δικαιωμάτων, δημοσιογράφοι και δικηγόροι. Η ερευνητική ομάδα του Check Point ανέφερε σε ένα blog post που κοινοποίησε στις 8 Φεβρουαρίου ότι η Domestic Kitten διεξάγει ευρεία κατασκοπεία τα τελευταία τέσσερα χρόνια, διενεργώντας τουλάχιστον 10 ξεχωριστές εκστρατείας και διατηρώντας τουλάχιστον μια λίστα 1.200 ατόμων – στόχων.
Όπως αναφέρει το ZDNet, έχουν παρακολουθηθεί μέχρι στιγμής τέσσερις ενεργές εκστρατείες, οι πιο πρόσφατες από τις οποίες φαίνεται να ξεκίνησαν τον Νοέμβριο του 2020 και βρίσκονται ακόμα σε εξέλιξη. Τα θύματα της Domestic Kitten βρίσκονται σε όλο τον κόσμο, συμπεριλαμβανομένων χωρών όπως το Ιράν, οι ΗΠΑ, το Πακιστάν και η Τουρκία.
Η Ιρανική APT hacking ομάδα χρησιμοποιεί ένα malware για κινητά που ονομάζεται «FurBall». Σύμφωνα με τους ερευνητές, πρόκειται για ένα malware που βασίζεται σε εμπορικά διαθέσιμο software παρακολούθησης που ονομάζεται «KidLogger» και φαίνεται ότι οι προγραμματιστές του είτε έλαβαν τον πηγαίο κώδικα του KidLogger, είτε εφάρμοσαν αντίστροφη μηχανική σε ένα δείγμα και αφαίρεσαν όλα τα ξένα μέρη και στη συνέχεια πρόσθεσαν περισσότερες δυνατότητες.
Το FurBall διαδίδεται μέσω διαφόρων φορέων επίθεσης, όπως phishing, sites του Ιράν, κανάλια του Telegram και μέσω μηνυμάτων SMS που περιέχουν σύνδεσμο που παραπέμπει στο malware. Το malware χρησιμοποιεί μια ποικιλία «μεταμφιέσεων» για να εξαπατήσει ένα θύμα στην εγκατάσταση. Όπως η εμφάνιση ως ασφάλεια VIP “VIPRE”, η μεταμφίεση ως news outlet app ή app stores.
Μόλις εγκατασταθεί σε μια συσκευή, το FurBall είναι σε θέση να παρακολουθεί μηνύματα SMS, να «αρπάζει» αρχεία καταγραφής κλήσεων, να συλλέγει πληροφορίες συσκευής, να καταγράφει επικοινωνία, να κλέβει μέσα και αποθηκευμένα αρχεία, να παρακολουθεί τις συντεταγμένες GPS της συσκευής, να παρακολουθεί τις κινήσεις των στόχων και πολλά άλλα.
Όταν συλλέγονται πληροφορίες από την παραβιασμένη συσκευή, μπορούν να σταλούν σε C2 servers που έχουν χρησιμοποιηθεί από την Domestic Kitten από το 2018. Βρέθηκαν συνδεδεμένες διευθύνσεις IP στο Ιράν, τόσο στην Τεχεράνη όσο και στο Karaj.
Στις 8 Φεβρουαρίου, οι ερευνητές της Check Point, μαζί με την SafeBreach, αποκάλυψαν επίσης τις δραστηριότητες μιας δεύτερης hacking ομάδας που στοχεύει ενεργά Ιρανούς αντιφρονούντες – αλλά αντί να επικεντρώνεται στα smartphones τους, δίνει βάση στους υπολογιστές τους. Με την ονομασία “Infy”, αυτή η APT ομάδα – που είναι γνωστό ότι υπάρχει από το 2007 και εκτιμάται ότι χρηματοδοτείται από το κράτος – έχει τώρα «ανανεώσει» τις επιχειρήσεις της με ένα προηγούμενο μη εντοπίσιμο στέλεχος malware, ένα ανανεωμένο κύριο malware payload της Infy και με αναθεώρηση της προηγούμενης C2 υποδομής.
