Centro Nazionale sicurezza informatica della Gran Bretagna (NCSC) segnala attacchi informatici regolari effettuati da hacker provenienti da Russia e Iran.
Secondo la relazione degli esperti, i gruppi di hacker SEABORGIUM (alias Callisto Group/TA446/COLDRIVER/TAG-53) e TA453 (alias APT42/Charming Kitten/Yellow Garuda/ITG18) utilizzano tecniche di phishing mirate per attaccare istituzioni e privati allo scopo di raccogliere informazioni.
Sebbene questi due gruppi non siano in combutta, in qualche modo capita di essere separati l'uno dall'altro attacco gli stessi tipi di organizzazioni, che lo scorso anno includevano enti governativi, organizzazioni non governative, organizzazioni nei settori della difesa e dell'istruzione, nonché individui come politici, giornalisti e attivisti.
Il phishing mirato è, per così dire, una tecnica sofisticata phishing, quando un utente malintenzionato prende di mira una persona specifica e finge di avere informazioni di particolare interesse per la sua vittima. Nel caso di SEABORGIUM e TA453, si assicurano di ciò esplorando le risorse disponibili gratuitamente per conoscere il loro obiettivo.
Entrambi i gruppi hanno creato profili falsi sui social media fingendosi conoscenti delle vittime o esperti nel loro settore e giornalisti. Di solito all'inizio c'è un contatto innocuo poiché SEABORGIUM e TA453 cercano di costruire una relazione con la loro vittima per guadagnarne la fiducia. Gli esperti notano che questo può durare per un lungo periodo. Gli hacker inviano quindi un collegamento dannoso, incorporandolo in un'e-mail o in un documento condiviso Microsoft One Drive o Google Drive.
Al centro sicurezza informatica ha riferito che "in un caso [TA453] ha persino organizzato una chiamata Zoom per condividere un URL dannoso nella chat durante la chiamata". È stato anche segnalato l'uso di più identità false in un singolo attacco di phishing per aumentare la credibilità.
Seguire i collegamenti di solito porta la vittima a una falsa pagina di accesso controllata dagli aggressori e, dopo aver inserito le proprie credenziali, viene violata. Gli hacker accedono quindi alle caselle di posta in arrivo delle loro vittime per rubare e-mail, allegati e reindirizzare le e-mail in arrivo ai loro account. Inoltre, utilizzano i contatti salvati nell'e-mail compromessa per trovare nuove vittime negli attacchi successivi e ricominciare da capo il processo.
Gli hacker di entrambi i gruppi utilizzano account di provider di posta elettronica comuni per creare ID falsi quando interagiscono per la prima volta con un obiettivo. Hanno anche creato domini falsi per organizzazioni apparentemente legittime. Azienda da sicurezza informatica Proofpoint, che tiene traccia del gruppo TA2020 iraniano dal 453, fa ampiamente eco alle scoperte dell'NCSC: "[TA453] le campagne possono iniziare con settimane di conversazioni amichevoli con account creati da hacker prima di tentare l'hacking". Hanno anche notato che gli altri obiettivi del gruppo includevano ricercatori medici, un ingegnere aerospaziale, un agente immobiliare e agenzie di viaggio.
Inoltre, l'azienda ha emesso il seguente avviso: “I ricercatori che lavorano su questioni di sicurezza internazionale, in particolare quelli specializzati in Medio Oriente o studi sulla sicurezza nucleare, dovrebbero esercitare una maggiore vigilanza quando ricevono e-mail indesiderate. Ad esempio, gli esperti contattati dai giornalisti dovrebbero controllare il sito Web della pubblicazione per assicurarsi che l'indirizzo e-mail appartenga a un reporter legittimo".
Interessante anche: