Od 6 lat podmioty powiązane z irańskim reżimem inwigilują opozycjonistów – informuje firma Check Point. Atakujący korzystali z wielu metod cyberszpiegowskich, w tym przechwytując konta Telegram ofiar, nagrywając otoczenie dźwiękowe ich telefonu, czy wyodrębniając kody uwierzytelniania dwuskładnikowego.
W operacji trwającej od 2014 roku hakerzy powiązani z irańskim rządem wykorzystywali różne wektory ataków do szpiegowania swoich ofiar – głównie członków organizacji antyreżimowych i ruchów oporu, takich jak Mujahedin-e Khalq, Azerbejdżańska Narodowa Organizacja Oporu i obywatele Beludżystanu – informują specjaliści ds. bezpieczeństwa z firmy Check Point. Irańscy napastnicy przechwytywali konta Telegram, wyodrębniali kody uwierzytelniania dwuskładnikowego z wiadomości SMS i nagrywali otoczenie za pomocą mikrofonu telefonu.
Irańscy hakerzy w celach zwiadowczych wykorzystali dokumenty z zaszytym złośliwym oprogramowaniem, aby zainfekować urządzenia swoich ofiar. Podstawową funkcjonalnością szkodliwego oprogramowania użytego w operacji była kradzież jak największej ilości informacji bezpośrednio z urządzenia docelowego. Skierowane było głównie w Telegram Desktop i KeePass, słynny magazyn haseł.
Podczas dochodzenia badacze z Check Pointa odkryli również złośliwą aplikację na Androida powiązaną z tym samym źródłem. Podszywała się ona pod usługę pomagającą osobom mówiącym w języku perskim w uzyskaniu prawa jazdy w Szwecji. Backdoor Androida zawierał m.in. funkcje kradzieży wiadomości, pozyskiwania danych z urządzenia czy nagrywania rozmów i otoczenia.
O rozmachu operacji świadczą przygotowane przez hakerów strony internetowe podszywające się pod komunikator Telegram. Co zaskakujące, kilka irańskich kanałów Telegram już wcześniej ostrzegło przed stronami phishingowymi, twierdząc, że stoi za nimi irański reżim. Według doniesień wiadomości phishingowe były wysyłane przez bota Telegrama i ostrzegały odbiorcę, że niewłaściwie korzysta z usług komunikatora, przez co jego konto zostanie zablokowane, jeśli nie kliknie w przesłany link. Inny kanał Telegramu przedstawił nawet zrzuty ekranu z próby phishingu, pokazujące, że atakujący założyli konto podszywające się pod oficjalny profil Telegram. Co ciekawe, początkowo osoby atakujące wysłały wiadomość o funkcjach nowej aktualizacji Telegrama, co miało na celu uwiarygodnienie kolejnych wiadomości. Właściwa wiadomość phishingowa została wysłana zaledwie pięć dni później, udostępniając link do złośliwej domeny.
– Po przeprowadzeniu naszego badania udało się wyróżnić kilka rzeczy charakterystycznych. Po pierwsze – wiadomości błyskawiczne i ich inwigilacja. Chociaż Telegrama nie można odszyfrować, można go łatwo przejąć. Inwigilacja komunikatorów internetowych, zwłaszcza w przypadku Telegrama, jest czymś możliwym i każdy powinien być tego świadom. Po drugie, ataki typu phishing na urządzenia mobilne, komputery i strony internetowe były powiązane z tą samą operacją. Oznacza to, że operacje te były najprawdopodobniej zarządzane zgodnie z wytycznymi wywiadu i tzw. interesami narodowymi. – mówi Lotem Finkelsteen, menedżer wywiadu zagrożeń w firmie Check Point, zapewniając jednocześnie, że badacze będą nadal monitorować różne obszary geograficzne na całym świecie, aby lepiej informować opinię publiczną o cyberbezpieczeństwie.
