Технологический гигант Google предупредил об активизации иранских хакеров в своем отчете, посвященном «заметным кампаниям» группы, связанной с Корпусом стражей исламской революции.
Об этом сообщает The Times of Israel.
Гигант поисковых систем стал второй технологической фирмой менее чем за неделю, которая выпустила предупреждение об иранских хакерах. Отчет поступил через несколько дней после того, как Microsoft заявила, что группа нацелена на израильские и американские оборонные технологии, а также предупредила, что Иран усилил свои атаки против Израиля.
Google сообщил в своем блоге, что иранская хакерская группа, известна под разными названиями (APT35, Phosphorous, Charming Kitten и Ajax Security), проводила вредоносные и фишинговые атаки, в ходе которых обманом установила шпионское программное обеспечение, чтобы выкрасть личную информацию.
«В течение многих лет эта группа захватывала учетные записи, развертывала вредоносные программы и использовала новые методы для ведения шпионажа в соответствии с интересами правительства Ирана», - написал Аякс Баш, член группы анализа угроз в Google.
В сообщении содержится предупреждение, что APT35 нацелен на аккаунты в правительстве, научных кругах, журналистике, НПО, внешней политике и национальной безопасности и действует с 2017 года.
Компания заявила, что APT35 использовала взломанный веб-сайт неназванного британского университета для проведения фишинг-атаки, прося людей подтвердить свои учетные данные. Кроме того, хакеры использовали фишинговые электронные письма на тему конференций, чтобы заставить пользователей переходить по скомпрометированным ссылкам.
«Злоумышленники использовали Мюнхенскую конференцию по безопасности и Think-20 (T20) в Италии в качестве приманки для рассылки незлонамеренных сообщений электронной почты с первым контактом, чтобы побудить пользователей ответить. Когда они это сделали, злоумышленники отправили им фишинговые ссылки в последующей переписке», - сказал гигант поисковых систем.
Google заявил, что хакеры также начали использовать функцию sendMessage Telegram API зашифрованного приложения для сбора сведений о ничего не подозревающих посетителях их фишинговых сайтов. Также группа APT35 пыталась загрузить вредоносное приложение в магазин Google Play.
В Google отметили, что «приложение было замаскировано под программное обеспечение VPN, которое в случае установки могло бы украсть конфиденциальную информацию, такую как журналы вызовов, текстовые сообщения, контакты и данные о местоположении с устройств».
Google сообщила, что приложение было обнаружено и удалено из Play Store до того, как оно было загружено и установлено любыми пользователями.
Google заявил, что в 2021 году он предупредил более 50 000 владельцев учетных записей о том, что они могли стать мишенью поддерживаемых государством попыток взлома с помощью фишинга или вредоносного ПО.
«Мы намеренно рассылаем эти предупреждения группами всем пользователям, которые могут подвергаться риску, а не в тот момент, когда мы обнаруживаем саму угрозу, чтобы злоумышленники не могли отслеживать наши стратегии защиты», - пояснил Google.
Согласно данным Google, количество попыток взлома в 2021 году увеличилось на треть по сравнению с тем же периодом, причем это увеличение связано с «необычно большой кампанией» российской группы APT28, также известной как «Fancy Bear».
В понедельник Microsoft заявила, что выявила группу иранских хакеров, нацеленных на израильские и американские компании оборонных технологий, использующие продукцию технологического гиганта, а также на фирмы, занимающиеся морскими перевозками на Ближнем Востоке. В своем сообщении в блоге Microsoft сообщила, что впервые идентифицировала хакерскую ячейку по прозвищу DEV-0343 в июле.
Компания заявила, что хакеры выполнили «обширную обработку паролей более чем 250 арендаторам Office 365, уделяя особое внимание компаниям оборонных технологий США и Израиля, портам въезда в Персидский залив или глобальным морским транспортным компаниям, имеющим бизнес на Ближнем Востоке».
Среди целей были «оборонные компании, которые поддерживают партнеров США, ЕС и правительства Израиля, производящие радары военного уровня, технологии беспилотных летательных аппаратов, спутниковые системы и системы связи для реагирования на чрезвычайные ситуации».
«Эта деятельность, вероятно, поддерживает национальные интересы Исламской Республики Иран», - говорится в заявлении.
Ранее Курсор писал, что в Microsoft заявили, что за большинством хакерских атак по всему миру стоит Россия. Специалисты из крупнейшей американской технологической компании Microsoft сообщили, что 58% всех хакерских атак за последний год были совершены с подачи руководства России.
Курсор уже сообщал, что хакеры из России совершили кибератаку на правительственные ресурсы США и ЕС.