Sofisticirana iranska špijunska kampanja ponovo je pojačala svoje aktivnosti, ciljajući uticajne osobe putem pažljivo osmišljenih operacija spjev-fišinga koje oponašaju glavne provajdere elektroničke pošte, uključujući Google, Outlook i Yahoo.
Ova kampanja, za koju je odgovoran entitet poznat kao Educated Manticore, predstavlja značajnu eskalaciju iranskih kapaciteta u sajber ratovanju, usred pojačanih geopolitičkih napetosti na Bliskom istoku.
Iranska grupa, koja je takođe praćena pod aliasima APT42, Charming Kitten i Mint Sandstorm, djeluje pod okriljem Obavještajne organizacije Iranske revolucionarne garde (IRGC).
Njihove najnovije operacije pokazuju primjetnu sofisticiranost u tehnikama socijalnog inženjeringa, koristeći fiktivne profile vezane za legitimne institucije, preciznu vremensku koordinaciju i strategije komunikacije putem više kanala kako bi kompromitovali vjerodajnice i zaobišli sisteme višestruke autentifikacije.
Nedavni obavještajni podaci ukazuju na to da je kampanja proširila svoj opseg ciljanja na vodeće izraelske akademike sa odseka za računarstvo, istraživače informacionih tehnologija i istaknute novinare koji izvještavaju o geopolitičkim dešavanjima.
Analitičari Check Pointa identifikovali su preko 100 zlonamjernih domena, posebno dizajniranih da imitiraju legitimne usluge, s posebnim naglaskom na repliciranje interfejsa za autentifikaciju Google-a, Outlook-a i Yahoo-a.
Napadači su takođe kreirali uvjerljive replike platformi za sastanke poput Google Meet-a kako bi olakšali svoje operacije prikupljanja vjerodajnica.
Operativna metodologija kampanje otkriva značajan taktički napredak. Početni vektori kontakta strateški variraju zavisno od profila ciljane osobe, koristeći kako tradicionalnu komunikaciju putem elektroničke pošte, tako i šifrovane aplikacije za razmjenu poruka poput WhatsApp-a.
Nakon uspostavljanja kontakta, žrtve se usmjeravaju ka sofisticiranoj fišing infrastrukturi koja koristi napredne okvire za web razvoj kako bi kreirala replike legitimnih interfejsa za prijavljivanje sa potpunom vizuelnom preciznošću.
Najzabrinjavajućiji aspekt ove kampanje leži u dokazanoj sposobnosti Educated Manticore-a da zaobiđe moderne sigurnosne kontrole, posebno sisteme višestruke autentifikacije.
Napadači primjenjuju sofisticirane tehnike socijalnog inženjeringa, kojima navode žrtve da dobrovoljno podijele svoje autentifikacijske kodove tokom procesa fišinga, čime efektivno neutrališu ono što bi trebalo da bude robusna sigurnosna mjera.
Vizuelna vjernost ovih lažnih stranica za autentifikaciju preusmjerava korisnike na infrastrukturu pod kontrolom napadača, istovremeno održavajući izgled legitimnih interakcija sa uslugama.
Sposobnosti grupacije u oblasti impersonacije protežu se i izvan tehničke infrastrukture, obuhvatajući i kreiranje vrlo uvjerljivih profila. Napadači uspješno djeluju pod maskom zaposlenih na srednjim pozicijama u velikim izraelskim kompanijama, vladinih zvaničnika iz Ureda premijera i profesionalaca iz etabliranih tehnoloških kompanija.
Ova komunikacija pokazuje gramatičku preciznost i formalnu strukturu, sugerirajući potencijalnu upotrebu vještačke inteligencije (AI) u generisanju sadržaja, mada povremene suptilne nedosljednosti, poput manjih grešaka u pisanju imena, ponekad odaju njihovu prevarantsku prirodu.