Um bando de ataque persistente avançado, ligado ao Irã, é suspeito de estar por trás de uma campanha de phishing destinada ao governo de alto posto e aos militares israelenses, segundo um informe da Check Point Software.
Objetivos da campanha compreenderam um líder de alto escalão na indústria de defesa de Israel, o antigo embaixador dos Estados Unidos para o Estado de Israel e o ex-vice-primeiro-ministro de Israel.
Os cientistas declararam que a meta da campanha era obter dados pessoais dos objetivos.
Os e-mails enganosos que possuem endereços válidos constituem um dos principais motivos de preocupação quando se trata de fraudes.
Verificando o Check Point, Tzipi Livni, que já foi Ministro das Relações Exteriores de Israel, Ministro da Justiça e Vice-primeiro-ministro, se tornou alvo. Os investigadores pensam que ela foi escolhida devido à sua extensa lista de contatos relevantes que constam em seu catálogo de endereços.
Há algum tempo, ela recebeu um e-mail de uma pessoa identificada pelos pesquisadores como “um conhecido ex-general na IDF que serviu em uma posição altamente sensível”. A origem do e-mail não foi falsificada – era o mesmo domínio que ela utilizava anteriormente. Quando traduzido para o hebraico, o conteúdo da mensagem dizia: “Querida X, é maravilhoso vê-la novamente”.
Olá, meus caros amigos! Por gentileza, dêem uma olhada no artigo anexado para recapitular o ano. ((*Apenas olhar*)) É claro que eu não quero que ele seja compartilhado, pois não é a versão final. Ficaria feliz em receber quaisquer comentários. Todos tenham um excelente restante do dia.
Livni tardou ao acessar o hipervínculo, o que exigiu vários e-mails de acompanhamento.
Olá, não tive oportunidade de conhecê-lo. Ouvir falar de você é algo que me interessa. Os comentários de meus amigos sobre você também são significativos. Entendo que você está muito ocupado, mas gostaria de pedir para que reserve algum tempo para ler o artigo. Tenha uma excelente semana!
A determinação do remetente e a série de mensagens despertaram suas suspeitas de acordo com a verificação de Check Point. Após reunir-se com o ex-general-major, tornou-se evidente que os e-mails foram enviados de um endereço eletrônico comprometido e que o conteúdo das mensagens era parte de um esquema de phishing.
Uma narrativa similar se aplicava a outros objetivos desta campanha: e-mails duvidosos eram enviados de contatos autênticos.
O que realmente aconteceu foi que eu não me lembrei de adquirir o bilhete.
Não havia nada particularmente avançado no método de ataque. De acordo com Sergey Shykevich, gerente de grupo de inteligência de ameaças da Check Point Research, o mais sofisticado da operação foi a engenharia social. Ele explicou que foi “uma série de phishing muito segmentada direcionada a cada alvo”. Esta técnica é conhecida como phishing de lança.
Os agressores iniciaram seus ataques por phishing de lança, começando por comprometer o endereço de e-mail de um dos contatos do destinatário. Em seguida, usando a conta tomada, eles seguiram em frente com uma sequência de correspondência que já existia entre o contato e a vítima. Gradualmente, eles levariam a conversa a um ponto no qual o alvo clicaria em um link ou abriria um documento perigoso.
Os analistas do Check Point notaram que certos e-mails incluíam uma ligação para um documento válido relacionado com o destinatário. Por exemplo, isso poderia ser uma “convocação para uma conferência ou inquérito, uma página de phishing do Yahoo ou um link para fazer o carregamento de exames de documentos”.
No final, o intento era roubarem suas informações pessoais, assim como digitalizações de passaportes e desviar acesso à suas caixas de correio eletrônico.
Quem está por trás disso e por qual motivo?
Afirmou Shykevich: “As provas indicam que o incício ocorreu a partir de dezembro do ano passado, no entanto acreditamos que esta data foi anterior.”
Em seu estudo, os pesquisadores identificaram indícios que os levam a acreditar que a atividade seja atribuível ao grupo Fosforo APT (também conhecido como Charming Kitten, Ajax Security, NewsBeef, APT35). O Fosforo é um dos APTs mais proeminentes do Irã, tendo uma longa trajetória de comandar campanhas cibernéticas de alto nível, em sintonia com os interesses do governo iraniano, além de visar funcionários israelenses.
O Irã e Israel freqüentemente discordam, e estes ataques aconteceram durante a aumento da tensão entre esses dois países. Devido aos assassinatos recentes de iranianos (alguns ligados ao serviço secreto israelense, o Mossad) e também a tentativas infrutíferas de sequestrar israelenses em todas as partes, é provável que Fosforoso persista com suas operações no futuro.
Corrija: Divulgue este artigo.
- O Executivo Federal declarou recentemente novas estratégias para enfrentar a pandemia do coronavírus.