Хакерская группа, предположительно связанная с Ираном, нацелена на 25 медицинских исследователей в США и Израиле, сообщает Watchdog

Компания по кибербезопасности заявила, что не может напрямую связать действия киберпреступников с Тегераном, но заявила, что атака на израильских специалистов будет «совместима» с усилением геополитической напряженности между Израилем и Ираном.

Хакерская группа TA453, также известная как «Очаровательный котенок» и «Фосфор», нацелена на 25 «старших профессионалов», специализирующихся на генетических, неврологических и онкологических исследованиях, базирующихся в Израиле и США в 2020 году, говорится в отчете компании Proofpoint, занимающейся кибербезопасностью. Компания не могла сказать, что хакеры планировали делать с данными, полученными в ходе кибер-кампании, получившей название BadBlood, но отметила, что «Phosphorus» использовал учетные данные, полученные в ходе предыдущих атак, для извлечения электронных писем и использования скомпрометированных учетных записей в новых кибероперациях.

Proofpoint процитировал внешние сообщения, связывающие «Phosphorus» с иранским правительством и его Корпусом стражей исламской революции (КСИР), но подчеркнул, что не может «независимо отнести TA453 к КСИР». Компания, занимающаяся кибербезопасностью, также отметила, что не может «окончательно определить мотивацию» хакеров, участвующих в кампании BadBlood.

Proofpoint сказал, что методы, использованные для нацеливания американских и израильских медицинских исследователей во время атаки 2020 года, соответствовали предыдущей тактике, использованной «Phosphorus», но группа никогда раньше не проводила операций против таких людей. Компания по кибербезопасности заявила, что TA453 исторически был целью «[Iranian] диссиденты, ученые, дипломаты и журналисты «, но предположил, что кампания BadBlood могла быть» конкретным краткосрочным требованием к сбору разведданных «. Proofpoint добавил, что киберкампания, нацеленная на израильтян, также будет» соответствовать «геополитической напряженности между Израилем и Ираном. , которая усилилась в 2020 году.

Классическая фишинговая атака

По словам Proofpoint, во время кампании BadBlood «Phosphorus» использовал фишинговую атаку для кражи учетных данных вышеупомянутых медицинских специалистов в Microsoft. Согласно кибервотчёсу, хакеры отправляли своим жертвам электронные письма с аккаунта, маскирующегося под известного израильского физика и содержащего приглашение прочитать доклад на тему «Ядерное оружие вкратце: Израиль».

Proofpoint сообщил, что в электронном письме содержалась ссылка, которая вела на поддельную страницу облачного сервиса Microsoft OneDrive, где пользователю предлагалось ввести свои учетные данные, что позволило хакерам получить их без ведома пользователей — классический подход к фишинговым атакам. Фирма, занимающаяся кибербезопасностью, заявила, что поддельная страница OneDrive не оснащена средствами обхода двухэтапной аутентификации.

Это не первый случай, когда Microsoft якобы стала мишенью для «Phosphorus». Американский технологический гигант ранее заявлял, что эти хакеры нацелились на учетные записи Microsoft 100 участников Мюнхенской конференции по безопасности в 2020 году и неуказанное количество сотрудников президентской кампании в 2019 году. Компания не уточнила, чья президентская кампания стала мишенью в этом году. но в сообщении Reuters говорится, что это могла быть кампания по переизбранию тогдашнего президента Дональда Трампа. Его кампания, однако, опровергала сообщения о том, что она была взломана.