Gatito encantador APT
Charming Kitten, también conocido como APT35 , es una amenaza persistente avanzada, un grupo de piratas informáticos con presuntos vínculos iraníes. El grupo también se conoce con otros nombres: Phosphorus, Ajax Security Team y Newscaster Team. Se ha observado que Charming Kitten tiene campañas motivadas políticamente, pero también motivadas por razones financieras. Están dirigidos a activistas de derechos humanos, organizaciones de medios y el sector académico. La mayoría de sus campañas buscaban ataques contra el Reino Unido, Estados Unidos, Irán e Israel.
Tabla de contenido
Campañas de gatitos encantadores
Una de las operaciones más expansivas emprendidas por el grupo de hackers se llevó a cabo contra HBO en 2017. Los ciberdelincuentes filtraron alrededor de un terabyte de datos con información personal sobre el personal de la empresa, los próximos programas y más. Otros ataques organizados por Charming Kitten, también conocido como APT35, incluyeron el acceso a datos detallados a través de un desertor de la Fuerza Aérea de EE. UU. y la falsificación del sitio web de una empresa de ciberseguridad israelí para robar los datos de inicio de sesión. El ataque que los vinculó a Irán fue una operación de 2018 dirigida a activistas políticos que influyó en las sanciones dirigidas contra el país. Los agentes de Charming Kitten utilizaron correos electrónicos de phishing con archivos adjuntos maliciosos e ingeniería social para hacerse pasar por profesionales de alto rango.
El ángulo iraní para un gatito encantador
Las campañas de phishing dirigidas fueron parte de la forma en que APT35 (Charming Kitten) hace negocios, como se pudo ver con su campaña de 2019 que tenía como objetivo hacerse pasar por ex periodistas del Wall Street Journal. Usaron ese enfoque para hundir sus garras en sus víctimas con la promesa de entrevistas o invitaciones a seminarios web, a menudo sobre temas de asuntos iraníes e internacionales en ese momento.
En uno de estos casos, los atacantes redactaron un correo electrónico en árabe con la identidad falsa imitando a la Farnaz Fassihi de la vida real, una exempleada del Wall Street Journal con 17 años trabajando para la publicación. Los agentes de Charming Kitten presentaron a este personaje falso como si aún trabajara para WSJ.
Solicitud de entrevista falsa. Fuente: blog.certfa.com
El contenido del correo electrónico era el siguiente:
Hola *** ***** ******
Mi nombre es Farnaz Fasihi. Soy periodista del periódico Wall Street Journal.
El equipo de Medio Oriente del WSJ tiene la intención de presentar personas no locales exitosas en países desarrollados. Sus actividades en los campos de la investigación y la filosofía de la ciencia me llevaron a presentarlo como un exitoso iraní. El director del equipo de Medio Oriente nos pidió que programáramos una entrevista contigo y compartiéramos algunos de tus importantes logros con nuestra audiencia. Esta entrevista podría motivar a la juventud de nuestro querido país a descubrir sus talentos y avanzar hacia el éxito.
No hace falta decir que esta entrevista es un gran honor para mí personalmente y le insto a que acepte mi invitación para la entrevista.
Las preguntas están diseñadas profesionalmente por un grupo de mis colegas y la entrevista resultante se publicará en la sección Entrevista semanal del WSJ. Te enviaré las preguntas y requisitos de la entrevista en cuanto aceptes.
*Nota al pie: No local se refiere a personas que nacieron en otros países.
Gracias por su amabilidad y atención.
Farnaz Fasihi
Los enlaces dentro de los correos electrónicos estaban en un formato de URL corto, a menudo utilizado por los actores de amenazas para disfrazar los enlaces legítimos detrás de ellos, con el objetivo de recopilar datos de direcciones IP, navegador y versiones del sistema operativo y más. Eso ayudó a allanar el camino para nuevos ataques al generar confianza con comunicación repetida y prepararse para el momento de actuar.
Una vez que se establece la confianza con el tiempo, los piratas informáticos envían un enlace que contiene las supuestas preguntas de la entrevista. Las muestras del Equipo de Respuesta a Emergencias Informáticas en Farsi (CERTFA) mostraron que los atacantes estaban utilizando un método utilizado por los phishers en los últimos años, con páginas alojadas en Google Sites.
Una vez que la víctima abre el enlace, puede ser redirigido a otra página falsa que intenta registrar sus credenciales de inicio de sesión y el código de autenticación de dos factores mediante el uso de un kit de phishing.
Resumen de las operaciones de Charming Kitten
En 2015, los investigadores descubrieron la primera ola de ataques de phishing, y los investigadores de ClearSky descubrieron operaciones de espionaje a gran escala entre 2016 y 2017. Los operadores de Charming Kitten utilizaron ataques de suplantación de identidad, spear-phishing y abrevadero.
En 2018, los ciberdelincuentes de Charming Kitten atacaron a ClearSky con un sitio web fraudulento que se hacía pasar por el portal de la empresa de seguridad. Ese año se identificaron más ataques contra objetivos de Medio Oriente con una campaña de correo electrónico falso y sitios web falsos.
En 2019, las actividades de Charming Kitten (APT35) se expandieron al apuntar a no iraníes en los EE. UU., Medio Oriente y Francia, con el objetivo de figuras públicas fuera de los demonios académicos que buscaban inicialmente. Comenzaron a adjuntar un rastreador a su correspondencia de correo electrónico para seguir los correos electrónicos reenviados a otras cuentas, con la intención de obtener datos de geolocalización.
>>>Actualización del 10 de mayo de 2020: APT35 (Charming Kitten) involucrado en la campaña de piratería de COVID-19
Un conjunto de archivos web disponibles públicamente revisados por expertos en seguridad cibernética reveló que el grupo de piratería iraní conocido como Charming Kitten, entre otros nombres, estuvo detrás de un ataque cibernético en abril contra la compañía farmacéutica con sede en California Gilead Sciences Inc involucrada en la investigación de COVID-19.
En uno de los casos que encontraron los investigadores de seguridad, los piratas informáticos utilizaron una página de inicio de sesión de correo electrónico falsa que fue diseñada específicamente para robar contraseñas de un alto ejecutivo de Gilead, involucrado en asuntos corporativos y legales. El ataque se encontró en un sitio web que se usa para escanear direcciones web en busca de actividad maliciosa, pero los investigadores no pudieron determinar si tuvo éxito.
Uno de los analistas que investigó el ataque fue Ohad Zaidenberg de la firma de ciberseguridad israelí ClearSky. Comentó que el ataque de abril contra Gilead fue un esfuerzo por comprometer las cuentas de correo electrónico corporativas con un mensaje que suplantaba la investigación de un periodista. Otros analistas, que no estaban autorizados a comentar públicamente, han confirmado desde entonces que el ataque utilizó dominios y servidores que fueron utilizados anteriormente por el grupo de piratería iraní conocido como Charming Kitten.
Gráfico de tendencias de grupos de hackers APT - Fuente: Securitystack.co
La misión diplomática de Irán ante las Naciones Unidas ha negado cualquier participación en tales ataques, y el portavoz Alireza Miryousefi afirmó que "el gobierno iraní no participa en la guerra cibernética", y agregó que "las actividades cibernéticas en las que participa Irán son puramente defensivas y para protegerse contra nuevos ataques contra infraestructura iraní".
Gilead ha seguido la política de la empresa sobre la discusión de asuntos de ciberseguridad y se negó a comentar. La compañía ha recibido mucha atención recientemente, ya que es el fabricante del medicamento antiviral remdesivir, que actualmente es el único tratamiento probado para ayudar a los pacientes infectados con COVID-19. Gilead también es una de las empresas que lidera la investigación y el desarrollo de un tratamiento para la enfermedad mortal, lo que la convierte en un objetivo principal para los esfuerzos de recopilación de inteligencia.
