Иранские и российские хакеры используют фишинг-атаки против британских политиков

Кибервойна в самом разгаре, и каждое государство, при наличии соответствующих ресурсов, обязательно привлекает цифровые войска для продвижения своих интересов. Великобритания выпустила новую рекомендацию по безопасности , предупреждающую о деятельности российской группировки SEABORGIUM (она же: Callisto Group, TA446, COLDRIVER, TAG-53) и иранской TA453 (она же: APT42, Charming Kitten, Yellow Garuda, ITG18).

По информации Национального центра кибербезопасности Великобритании (NCSC), вышеупомянутые хакерские группировки активно занимаются цифровым преследованием британских лиц, представляющих интерес в шпионских целях.

«В течение 2022 года SEABORGIUM и TA453 были нацелены на научные сообщества, оборонные, правительственные и неправительственные организации, аналитические центры. А также на конкретных политиков, журналистов и активистов», — пишут представители NCSC.

Обе группы действуют в соответствии со стратегиями шпионского фишинга. Они «заманивают» своих жертв с помощью информации, которая представляет для них интерес. Чтобы лучше понять интересы потенциальных жертв, злоумышленники долго изучают их социальные сети и прочую доступную информацию. Кроме того, было замечено, что SEABORGIUM и TA453 создают поддельные страницы и выдают себя за уважаемых экспертов, а также рассылают приглашения на конференции или выступления журналистов.

Как правило, злоумышленники легко завоёвывают доверие своих целей. Сначала они поддерживают длительные контакты с жертвами по личной или деловой электронной почте. Затем, когда доверительные отношения установлены, киберпреступники отправляют жертве ссылку на фишинговую страницу, замаскированную под реальный веб-сайт, документ в облачном хранилище или даже приглашение в Zoom. Так цель делится своими учётными данными с хакерами.

По словам исследователей, группировки используют скомпрометированные данные для кражи электронных писем и вложений из почтового ящика, настраивают правила пересылки почты для контроля корреспонденции и получают доступ к данным списка рассылки и спискам контактов жертвы для дальнейшего таргетинга. Всё происходит довольно незаметно для выбранной цели, поэтому и догадаться о том, что вся личная или рабочая почта уходит на левый адрес, порой, очень затруднительно.

«Эти кампании злоумышленников, базирующихся в России и Иране, продолжают безжалостно преследовать свои цели в попытке похитить учётные данные в Интернете и скомпрометировать потенциально чувствительные системы», — сказал Пол Чичестер, операционный директор NCSC. «Мы настоятельно рекомендуем организациям и частным лицам сохранять бдительность в отношении потенциальных подходов и следовать рекомендациям по смягчению последствий, чтобы защитить себя в Интернете», — добавил он.