Ngày 27 tháng 1 năm 2023Ravie LakshmananCác cuộc tấn công do quốc gia tài trợ
Trung tâm An ninh Mạng Quốc gia Vương quốc Anh (NCSC) hôm thứ Năm đã cảnh báo về các cuộc tấn công lừa đảo trực tuyến do các tác nhân được nhà nước Nga và Iran bảo trợ thực hiện nhằm thu thập thông tin.
NCSC cho biết: “Các cuộc tấn công không nhằm vào công chúng nói chung mà nhắm vào các lĩnh vực cụ thể, bao gồm học viện, quốc phòng, tổ chức chính phủ, tổ chức phi chính phủ, tổ chức tư vấn cũng như các chính trị gia, nhà báo và nhà hoạt động”.
Cơ quan này cho rằng các vụ xâm nhập là do SEABORGIUM (còn gọi là Callisto, COLDRIVER và TA446) và APT42 (còn gọi là ITG18, TA453 và Yellow Garuda). Bỏ qua những điểm tương đồng về phương thức hoạt động, không có bằng chứng nào cho thấy hai nhóm đang hợp tác với nhau.
Hoạt động này là điển hình của các chiến dịch lừa đảo trực tuyến, trong đó các tác nhân đe dọa gửi thông điệp phù hợp với mục tiêu, đồng thời dành đủ thời gian để nghiên cứu sở thích của họ và xác định vòng kết nối xã hội và nghề nghiệp của họ.
Liên hệ ban đầu được thiết kế để có vẻ vô thưởng vô phạt nhằm lấy lòng tin của họ và có thể kéo dài hàng tuần trước khi chuyển sang giai đoạn khai thác. Điều này có dạng liên kết độc hại có thể dẫn đến đánh cắp thông tin xác thực và xâm phạm trở đi, bao gồm cả việc đánh cắp dữ liệu.
Để duy trì mưu mẹo, các nhóm đối thủ được cho là đã tạo hồ sơ không có thật trên các nền tảng truyền thông xã hội để mạo danh các chuyên gia và nhà báo trong lĩnh vực nhằm lừa nạn nhân mở các liên kết.
Thông tin đăng nhập bị đánh cắp sau đó được sử dụng để đăng nhập vào tài khoản email của mục tiêu và truy cập thông tin nhạy cảm, ngoài việc thiết lập các quy tắc chuyển tiếp thư để duy trì khả năng hiển thị liên tục vào thư từ của nạn nhân.
Nhóm SEABORGIUM do nhà nước Nga tài trợ có lịch sử thiết lập các trang đăng nhập giả mạo bắt chước các công ty quốc phòng hợp pháp và phòng thí nghiệm nghiên cứu hạt nhân để thực hiện các cuộc tấn công thu thập thông tin xác thực.
APT42, hoạt động với tư cách là nhánh gián điệp của Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC), được cho là có chung các điểm trùng lặp với PHOSPHORUS và là một phần của nhóm lớn hơn được theo dõi với tên gọi Charming Kitten.
Tác nhân đe dọa, như SEABORGIUM, được biết là giả dạng các nhà báo, viện nghiên cứu và nhóm chuyên gia cố vấn để tương tác với các mục tiêu của nó bằng cách sử dụng kho công cụ và chiến thuật luôn thay đổi để phù hợp với các ưu tiên đang phát triển của IRGC.
Công ty bảo mật doanh nghiệp Proofpoint, vào tháng 12 năm 2022, đã tiết lộ việc nhóm này “sử dụng tài khoản bị xâm nhập, phần mềm độc hại và mồi nhử đối đầu để theo đuổi các mục tiêu có nhiều nền tảng từ nhà nghiên cứu y tế đến người môi giới cho đến công ty du lịch”, gọi đó là hành vi sai lệch so với “dự kiến”. hoạt động lừa đảo.”
Hơn nữa, một khía cạnh đáng chú ý của các chiến dịch này là việc sử dụng địa chỉ email cá nhân của mục tiêu, có thể là một phương tiện để phá vỡ các biện pháp kiểm soát an ninh được áp dụng trên mạng công ty.
Paul Chichester, giám đốc điều hành của NCSC, cho biết: “Các chiến dịch này của các tác nhân đe dọa có trụ sở tại Nga và Iran tiếp tục theo đuổi các mục tiêu của họ một cách tàn nhẫn nhằm đánh cắp thông tin đăng nhập trực tuyến và thỏa hiệp các hệ thống nhạy cảm tiềm tàng”.
