Hackers από το Ιράν, πέρασαν 18 μήνες υποδυόμενοι μία δασκάλα αερόμπικ, σε μια εκστρατεία κατασκοπείας στον κυβερνοχώρο με σκοπό να μολύνουν υπαλλήλους και εργολάβους που εργάζονται στον τομέα της άμυνας και της αεροδιαστημικής, με κακόβουλο λογισμικό. Σκοπός τους ήταν να κλέψουν ονόματα χρήστη, κωδικούς πρόσβασης και άλλες πληροφορίες που θα μπορούσαν να αξιοποιηθούν.
Δείτε επίσης: Ανακαλύφθηκε κακόβουλο λογισμικό που τρέχει εγγενώς στο τσιπ M1
Η καμπάνια, που ήταν ενεργή τουλάχιστον από το 2019, χρησιμοποίησε το Facebook, το Instagram και το email για να εμφανιστεί ως το πλαστό πρόσωπο “Marcella Flores“. Οι hackers περνούσαν ακόμα και μήνες για να χτίσουν μία σχέση με τους στόχους τους, μέσω μηνυμάτων και email πριν επιχειρήσουν να διανείμουν κακόβουλο λογισμικό.
Η εκστρατεία έχει αναλυθεί από ερευνητές της κυβερνοασφάλειας στην Proofpoint που την έχουν συνδέσει με την TA456 – επίσης γνωστή ως Tortoiseshell – μια ιρανική κυβερνητική ομάδα hacking.
Ο τρόπος με τον οποίο λειτουργούσε το ψεύτικο προφίλ για τόσο μεγάλο χρονικό διάστημα καταδεικνύει την προσπάθεια και την επιμονή που κατέβαλαν εκείνοι που κρύβονται πίσω από την εκστρατεία κατασκοπείας, σε μια προσπάθεια να στοχεύσουν άτομα που τους ενδιαφέρουν. Κύριοι στόχοι τους, ήταν άτομα που εργάζονται για αμερικανικούς εργολάβους άμυνας, ιδίως εκείνους που συμμετέχουν στην υποστήριξη επιχειρήσεων στη Μέση Ανατολή.
Το δημόσιο προφίλ της Marcella στο Facebook ισχυρίστηκε ότι ήταν δασκάλα αερόμπικ στο Λίβερπουλ της Αγγλίας.
Δείτε ακόμα: Facebook: Πώς να αρχειοθετήσετε posts σας (χωρίς να τα διαγράψετε)
Οι hackers πίσω από το ψεύτικο πρόσωπο χρησιμοποίησαν email, προφίλ κοινωνικών μέσων, φωτογραφίες και ακόμη και ερωτικά μηνύματα για να δώσουν την εντύπωση ότι ήταν ένα υπαρκτό άτομο.
Μετά από μια περίοδο ανταλλαγής μηνυμάτων, οι εισβολείς χρησιμοποίησαν έναν λογαριασμό Gmail που έχει δημιουργηθεί για να στείλουν έναν σύνδεσμο OneDrive που περιείχε ένα έγγραφο ή ένα αρχείο βίντεο στο θύμα. Το κακόβουλο λογισμικό είναι μια ενημερωμένη έκδοση του Lideric, την οποία οι ερευνητές ονόμασαν Lempo.
Αυτό το κακόβουλο λογισμικό δημιουργεί persistence στον υπολογιστή Windows του θύματος, επιτρέποντας στους hackers να αναζητήσουν και να κλέψουν ευαίσθητες πληροφορίες. Η Proofpoint είπε ότι λόγω της συγκεκριμένης στόχευσης των θυμάτων δεν ήταν δυνατό να ειπωθεί εάν οι επιθέσεις ήταν επιτυχείς.
Τα κλεμμένα ονόματα χρήστη και κωδικοί πρόσβασης θα μπορούσαν να βοηθήσουν τους εισβολείς να διεξάγουν περαιτέρω εκστρατείες κατασκοπείας. Είναι πιθανό ότι οι συγκεκριμένοι στόχοι επιλέχθηκαν επειδή η κλοπή των διαπιστευτηρίων τους θα μπορούσε να προσφέρει στους επιτιθέμενους τα μέσα να προχωρήσουν περαιτέρω στην αλυσίδα εφοδιασμού και να αποκτήσουν πρόσβαση στα δίκτυα αμυντικών και αεροδιαστημικών εταιρειών.
Δείτε επίσης: Προσοχή! Το Linkury adware διανέμει κακόβουλο λογισμικό
Οι κλεμμένοι κωδικοί πρόσβασης θα μπορούσαν να αξιοποιηθούν για να αποκτήσουν απομακρυσμένη πρόσβαση σε VPN και απομακρυσμένο λογισμικό, ή θα μπορούσαν να χρησιμοποιηθούν παραβιασμένα διαπιστευτήρια για τη διεξαγωγή περαιτέρω επιθέσεων ηλεκτρονικού ψαρέματος.
Το Facebook έκλεισε το προφίλ της Marcella τον Ιούλιο αφού αναγνώρισε ότι και άλλοι λογαριασμοί εργάζονται σε επιχειρήσεις κατασκοπείας στον κυβερνοχώρο εκ μέρους της Tortoiseshell. Το Facebook έχει συνδέσει το κακόβουλο λογισμικό που χρησιμοποιείται στις καμπάνιες με μια ιρανική εταιρεία πληροφορικής με συνδέσμους προς το IRGC.
