Атака иранских хакеров на переговоры по заложникам - появились подробности

Новый отчет израильской компании Dream Security раскрывает сложную фишинговую кампанию, которую связывают с хакерами, подчиненными министерству разведки и безопасности Ирана (MOIS).

Об этом сообщает газета "Маарив".

В рамках операции использовался взломанный дипломатический почтовый ящик министерства иностранных дел Омана в Париже, с которого отправлялись электронные письма, маскирующиеся под официальную переписку. Расследование показало, что кампания, получившая название Homeland Justice, проводилась в несколько этапов и включала отправку 270 электронных писем с 104 взломанных адресов.

Согласно отчету, среди целей Ирана были египетские учреждения, участвовавшие в переговорах о прекращении огня и освобождению заложников в Каире, а также представители Катара и США. Одна из задач операции заключалась в сборе информации о конфиденциальных переговорах, касающихся прекращения боевых действий в Газе и вопроса заложников.

Кроме того, атака была направлена на дипломатические представительства, правительственные учреждения и международные организации по всему миру — главным образом в Европе, но также на Ближнем Востоке, в Африке, Азии и Америке. Среди целей были посольства, консульства и международные организации, включая ООН, Всемирный банк и ЮНИСЕФ.

В отправленных злоумышленниками файлах скрывался код, активировавший вредоносное ПО. Оно маскировалось под безобидный файл и сохранялось на компьютере незаметно для пользователя.

После запуска программа собирала базовую информацию с компьютера и отправляла ее на сервер управления, контролируемый хакерами. Кроме того, она закрепляла свое присутствие на устройстве, чтобы продолжать работу даже после перезагрузки.

В отчете отмечается, что злоумышленники тщательно использовали методы маскировки: применяли настоящие государственные почтовые ящики для повышения доверия, запускали инфраструктуру VPN из Иордании для сокрытия источника атаки и внедряли задержки в коде, чтобы затруднить работу киберследователей.

По оценкам экспертов, цель атаки из Ирана заключалась в шпионаже и создании базы для дальнейшего проникновения в сети дипломатических и промышленных учреждений.

Ранее "Курсор" писал, что иранские хакеры вывели из строя интернет-провайдера "Римон", в результате чего пользователи оставались без связи почти полдня. Нарушения затронули не только интернет-сервисы, но и работу клиентских центров — в течение этого периода связаться с компанией было невозможно.