Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, odhalil íránskou hackerskou operaci zaměřenou na vysoce postavené izraelské a americké osobnosti. Útočníci získali reálné e-mailové komunikace, které následně použili k útokům například na bývalou izraelskou ministryni zahraničí Cipi Livniovou, bývalého velvyslance USA v Izraeli, bývalého generálmajora izraelské armády a tři další osobnosti. Ve zprávách hackeři navazovali na předchozí e-mailovou komunikaci a vydávali se za známé obětí. Operace je zaměřena na krádeže osobních údajů, naskenovaných pasů a e-mailových účtů. Situace je o to vážnější, že operace byla odhalena v době, kdy roste napětí mezi Izraelem a Íránem.
Cíle hackerské operace byli například:
- Cipi Livniová, bývalá ministryně zahraničí a místopředsedkyně izraelské vlády
- Bývalý generálmajor, který sloužil na vysoce citlivé pozici v izraelské armádě
- Předseda jednoho z předních izraelských bezpečnostních think-tanků
- Bývalý velvyslanec USA v Izraeli
- Bývalý předseda známého výzkumného centra na Blízkém východě
- Vysoce postavený manažer v izraelském obranném průmyslu
Technika útoku:
- Útočník získá kontrolu nad skutečným e-mailovým účtem nějakého dobře známého kontaktu vytipovaného cíle.
- Útočník využije existující e-mailovou komunikaci, na kterou naváže.
- Pro další komunikaci útočníci používají ukradený e-mailový účet nebo použijí falešný e-mail, většinou ve formátu joe.doe.corp@gmail.com.
- Útočníci pokračují v předchozí konverzaci a vymění si s cílem několik e-mailů. Konverzace v mnoha případech souvisí s bezpečnostními otázkami Íránu a Izraele.
- Některé z e-mailů obsahují odkaz na phishingovou stránku nebo podvodný soubor relevantní pro cíl, například pozvánku na konferenci nebo výzkum.
Příklad: Útok na bývalou izraelskou ministryni zahraničí
Cipi Livniovou oslovil prostřednictvím e-mailu někdo, kdo se vydával za bývalého generálmajora izraelské armády, který sloužil na velmi citlivé pozici. E-mail byl odeslán z jeho pravé e-mailové adresy, ze které v minulosti s Livniovou komunikoval. E-mail obsahoval odkaz na soubor, který po ní útočník požadoval otevřít a přečíst. Když s tím otálela, útočník ji několikrát oslovil s žádostí, aby soubor otevřela pomocí svého e-mailového hesla. To v ní vyvolalo podezření. Když se s bývalým generálmajorem setkala a zeptala se ho na e-mail, potvrdilo se, že žádný takový e-mail nikdy neposlal.
Check Point se domnívá, že útočníci jsou podporovaní Íránem, vše zatím ukazuje na APT skupinu Phosphorus, která se dlouhodobě zaměřuje na Izrael a útočí v souladu se zájmy íránského režimu.
„Odhalili jsme íránskou operaci, která se zaměřuje na významné osobnosti izraelského a amerického veřejného sektoru. Cílem byly krádeže osobních údajů, naskenovaných pasů a přístupu k e-mailovým účtům. Útoky probíhají minimálně od prosince 2021. Vidíme také rafinované použití sociálního inženýrství. Útočníci se nabourají do účtu nějakého známého oběti a snaží se navázat na předchozí konverzaci. Pro každý cíl používají specifické návnady. U podobných národních útoků se zřídkakdy setkáváme s tak agresivní komunikací. Situaci budeme nadále monitorovat a analyzovat,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.
Více informací najdete v analýze výzkumného týmu Check Point Research:
