(Beirut) – Hackers apoyados por el gobierno iraní iraní El gobierno ha atacado a dos miembros del personal de Human Rights Watch y al menos a otros 18 activistas de alto nivel, periodistas, investigadores, académicos, diplomáticos y políticos que trabajan en temas de Oriente Medio en una campaña de ingeniería social y phishing en curso, anunció hoy Human Rights Watch.
Una investigación de Human Rights Watch ha permitido rastrear el ataque de phishing hasta una organización vinculada al gobierno iraní conocida como APT42, a veces denominada Charming Kitten. El análisis técnico, realizado conjuntamente por Human Rights Watch y el Laboratorio de Seguridad de Amnistía Internacional, identificó a otras 18 víctimas atacadas en la misma campaña. Los correos electrónicos y otros datos sensibles de al menos tres de ellos se vieron comprometidos: un corresponsal de un importante periódico estadounidense, una activista de los derechos de la mujer con sede en la región del Golfo, y Nicholas Noe, un consultor de Refugees International con sede en el Líbano.
“Los piratas informáticos respaldados por el Estado iraní están utilizando agresivamente sofisticadas tácticas de ingeniería social y de recolección de credenciales para acceder a información sensible y a los contactos proporcionados por investigadores y Sociedad civil Grupos”, dijo Abir GhattasDirector de Seguridad de la Información de Human Rights Watch. “Esto aumenta enormemente los riesgos para los periodistas y los defensores de los derechos humanos en Irán y en otros lugares de la región”.
En el caso de las tres personas cuyas cuentas se sabía que estaban comprometidas, los atacantes obtuvieron acceso a sus correos electrónicos, unidades de almacenamiento en la nube, calendarios y contactos, y también realizaron un Google Takeaway, un servicio que exporta datos de los servicios principales y adicionales de una cuenta de Google.
Varias empresas de seguridad han informado de campañas de phishing por parte de APT42 dirigidas a investigadores, grupos de la sociedad civil y disidentes en Oriente Medio. La mayoría de ellos identifican a APT42 basándose en los patrones de ataque y en las pruebas técnicas. Organizaciones como Google y las empresas de ciberseguridad Futuro grabado, Proofpointy Mandiant han vinculado a APT 42 con las autoridades iraníes. Identificar y nombrar a un actor de la amenaza ayuda a los investigadores a detectar, rastrear y relacionar la ciberactividad hostil.
En octubre de 2022, un miembro del personal de Human Rights Watch que trabajaba en la región de Oriente Medio y el Norte de África recibió mensajes sospechosos a través de WhatsApp de una persona que decía trabajar para un grupo de expertos en Líbano y que le invitaba a una conferencia. La investigación conjunta descubrió que los enlaces de phishing enviados a través de WhatsApp, una vez pulsados, llevaban al objetivo a una página de inicio de sesión falsa que capturaba la contraseña de correo electrónico y el código de autenticación del usuario. El equipo de investigación investigó la infraestructura que albergaba los enlaces maliciosos e identificó otros objetivos de esta campaña en curso.
Human Rights Watch y Amnistía Internacional se pusieron en contacto con las 18 personas de alto perfil identificadas como objetivos de esta campaña. Quince de ellos respondieron y confirmaron que habían recibido los mismos mensajes de WhatsApp en algún momento entre el 15 de septiembre y el 25 de noviembre de 2022.
El 23 de noviembre de 2022, un segundo miembro del personal de Human Rights Watch también fue atacado. Recibieron los mismos mensajes de WhatsApp desde el mismo número que contactó con los otros objetivos.
La ingeniería social y los intentos de phishing siguen siendo componentes importantes de los ciberataques iraníes. Desde 2010, los operadores iraníes han …con el objetivo. Miembros de gobiernos, ejércitos y empresas extranjeras, así como disidentes políticos y defensores de los derechos humanos. Con el tiempo, estos ataques se han vuelto más sofisticados en la forma de llevar a cabo lo que se conoce como “ingeniería social”.
Según MandiantSegún una empresa de ciberseguridad estadounidense, APT42 fue responsable de varios ataques de phishing en Europa, Estados Unidos y la región de Oriente Medio y Norte de África. El 14 de septiembre de 2022, la Oficina de Control de Activos Extranjeros del Departamento del Tesoro de Estados Unidos impuesta. Sanciones contra personas asociadas al grupo.
La investigación también descubrió deficiencias en las medidas de seguridad de Google para proteger los datos de sus usuarios. Las personas que fueron objeto del ataque de phishing dijeron a Human Rights Watch que no se dieron cuenta de que sus cuentas de Gmail se habían visto comprometidas ni de que se había iniciado una retirada de fondos de Google, en parte porque las alertas de seguridad de la actividad de las cuentas de Google no muestran una notificación persistente en la bandeja de entrada del usuario ni envían un mensaje push a la aplicación de Gmail en su teléfono.
La actividad de seguridad de Google mostró que los atacantes accedieron a las cuentas de los usuarios objetivo casi inmediatamente después del compromiso y mantuvieron el acceso a las cuentas hasta que el equipo de investigación de Human Rights Watch y Amnistía Internacional les notificó y les ayudó a eliminar el dispositivo conectado del atacante.
Google debería reforzar inmediatamente sus alertas de seguridad para las cuentas de Gmail a fin de proteger mejor a los periodistas, los defensores de los derechos humanos y los usuarios más vulnerables de los ataques, señaló Human Rights Watch.
“En una región de Oriente Medio plagada de amenazas de vigilancia a los activistas, es imperativo que los investigadores de la seguridad digital no sólo publiquen y difundan sus conclusiones, sino que den prioridad a la protección de los activistas, periodistas y líderes de la sociedad civil acosados en la región”, dijo Ghattas.
Análisis técnico de la campaña de phishing
El 18 de octubre de 2022, un miembro del personal de Human Rights Watch que trabajaba en la región de Oriente Medio y el Norte de África recibió un mensaje en WhatsApp que decía ser de un Líbano-y lo invitó a una conferencia. La invitación tenía el mismo formato que las anteriores del think tank, lo que indica una sofisticada ingeniería social. La persona que el grupo de amenazas APT42 decía ser en los mensajes de WhatsApp trabajaba anteriormente para el grupo de expertos.
El personal de Human Rights Watch reenvió estos mensajes al equipo de seguridad de la información, que confirmó que se trataba de un intento de phishing. Si la persona hubiera hecho clic en el mensaje agradable[.]biz, habría sido redirigida a la URL https://sharefilesonline[.]live/xxxxxx/BI-File-2022.html que contiene una página falsa de inicio de sesión de Microsoft.
Los lindos[.]biz es un acortador de URL personalizado proporcionado y gestionado por el grupo del atacante y diseñado para imitar el nombre del acortador de URL legítimo cutt.ly.
El enlace de phishing enviado al empleado de Human Rights Watch contenía una ruta aleatoria de cinco caracteres, letras minúsculas y números, equivalente a unos 6 millones de combinaciones. Esto permitió enumerar todas las rutas existentes en la infraestructura del atacante para encontrar otros enlaces existentes. Esta enumeración permitió descubrir 44 URL válidas, muchas de las cuales redirigían a una página de phishing que mostraba la dirección de correo electrónico del objetivo. Las páginas de phishing estaban diseñadas específicamente para imitar las páginas de inicio de sesión de Microsoft, Google o Yahoo.
La investigación posterior reveló que el kit de phishing permitía eludir los métodos de autenticación multifactoriales que no fueran una llave de seguridad de hardware. La autenticación multifactor (MFA), a menudo llamada autenticación de dos factores o 2FA, requiere un segundo medio de autenticación además de la contraseña. Los segundos factores comunes incluyen un código temporal enviado por SMS, un código temporal asignado por una aplicación de smartphone (como FreeOTP o Google Authenticator) y un código generado por una llave de seguridad de hardware (como Yubikey o Solo Key). A través de diversos medios técnicos, es posible crear conjuntos de herramientas de phishing que eluden la AMF cuando el código temporal se transmite por SMS o a través de una aplicación de smartphone. Actualmente, no es posible que un kit de phishing eluda la autenticación multifactor con claves de hardware.
Los chats de WhatsApp de las personas que se sabe que han sido atacadas con éxito muestran que los atacantes se pusieron en contacto repetidamente con las personas a las que iban dirigidas cuando hicieron clic en los enlaces de phishing. Después de introducir sus credenciales en la página de phishing, se pedía a los objetivos que introdujeran un código en la página de anulación de 2FA, que los atacantes utilizaban para acceder a sus cuentas de correo electrónico. Los kits de phishing con funciones de elusión de la AMF se han utilizado ampliamente desde al menos 2018, y el Laboratorio de Seguridad de Amnistía Internacional ha documentado varios usos de estos kits contra defensores de los derechos humanos en 2018 y 2020.
Periodistas y defensores de los derechos humanos en el punto de mira de la APT42
Además de los dos empleados de Human Rights Watch, Human Rights Watch y Amnistía Internacional han identificado otras 18 cuentas de correo electrónico que fueron atacadas en el marco de la misma campaña, entre ellas las de seis periodistas.
Human Rights Watch y Amnistía Internacional se pusieron en contacto con todos ellos y 15 respondieron. Confirmaron que todos fueron atacados en el período comprendido entre el 15 de septiembre y el 25 de noviembre de 2022 utilizando exactamente el mismo enfoque de ingeniería social. De los 20 objetivos, al menos tres habían sido comprometidos por el actor de la amenaza. La confirmación del compromiso llevó al equipo de investigación a obtener información adicional sobre el proceso de exfiltración de datos. Human Rights Watch también ayudó a los periodistas desconectando y restableciendo las cuentas de los agresores.
El ataque dio a los atacantes acceso a los correos electrónicos, el almacenamiento en la nube, los calendarios y los contactos de los objetivos. En al menos un caso, el atacante sincronizó el buzón de correo del objetivo y realizó un Google Takeout, un servicio que exporta toda la actividad e información de una cuenta, incluidas las búsquedas web, los pagos, los viajes y las ubicaciones, los anuncios en los que se ha hecho clic, la actividad de YouTube y la información adicional de la cuenta. Este es el método más completo e intrusivo para exportar datos en una cuenta de Google.
Las actividades de seguridad de Google mostraron que los atacantes accedieron a las cuentas de los objetivos casi inmediatamente después del compromiso y que tuvieron acceso durante unos cinco días hasta que Human Rights Watch notificó a los objetivos y ayudó a eliminar el dispositivo conectado del atacante.
Atribución
El equipo de seguridad informática de Human Rights Watch atribuye estos ataques con un alto grado de probabilidad al actor de la amenaza iraní APT42, que las autoridades también denominan TA453. Proofpoint, fósforo de Microsofty Charming Kitten de ClearSky y CERTFA basado en indicadores técnicos específicos relacionados con los ataques de phishing y la infraestructura operativa utilizada por los atacantes para acceder a las cuentas comprometidas. La lista de objetivos de la APT42 identificados por Human Rights Watch está relacionada con Oriente Medio, incluido Irán, y se accedió a una cuenta comprometida desde una dirección IP con sede en Teherán (véase la sección de detalles técnicos). Varias organizaciones han confirmado esta atribución basándose en sus propias investigaciones sobre campañas similares.
Muchas organizaciones, como Google, y las empresas de ciberseguridad Futuro grabado y Proofpointque han investigado los ataques de APT42, han llegado a la conclusión de que APT42 opera en nombre de las autoridades iraníes. En septiembre, la empresa estadounidense de ciberseguridad Mandiant, atribuido. Las actividades de APT42 se atribuyen al Cuerpo de la Guardia Revolucionaria Islámica de Irán.
El código fuente de la página de phishing utilizada para los 20 objetivos contiene código JavaScript muy similar al código de una página de phishing alojada en el dominio mailer-daemon[.]net se utilizó en noviembre de 2022, que formaba parte de una campaña de phishing realizada por Futura grabación atribuida al actor de la amenaza iraní APT42.. El mismo código se encontró también en continuetogo[.]en agosto de 2021, que formaba parte de una campaña de phishing realizada por Google se atribuye a actores de amenazas respaldados por el gobierno iraní.
El segundo miembro del personal de Human Rights Watch atacado el 23 de noviembre de 2022 recibió los mismos mensajes de WhatsApp desde el mismo número que contactó con los otros objetivos. El enlace malicioso compartido con el personal estaba alojado en mailer-daemon[.]org, y los atacantes utilizaron el mismo acortador de URL (cutly[.]biz) para ocultar el nombre completo del dominio.
También se ha observado el uso de acortadores de URL falsos, inusuales o personalizados en ataques dirigidos a otros actores de amenazas iraníes, como Phosphorus contra objetivos israelíes y estadounidenses en junio de 2022.por lo que se encendieron[.]nosotros.
La investigación de la infraestructura del atacante reveló que el mismo grupo utilizaba el dominio uani[.]us, un dominio con errores tipográficos que copia a un grupo de defensa con sede en Estados Unidos llamado United Against Nuclear Iran, que fue atacado por Charming Kitten en noviembre de 2021.
Todas las direcciones IP utilizadas para conectarse a las cuentas comprometidas procedían del servicio de red privada virtual (VPN) de Express. Sin embargo, Human Rights Watch encontró una dirección IP iraní, 5.160.239.XXX, conectada a una de las bandejas de entrada del objetivo. Esta podría ser la dirección IP pública de la propia red del atacante, posiblemente descubierta después de que se olvidara de activar su VPN antes de conectarse.
Uno de los aspectos más destacados Características de los grupos de amenazas respaldados por el gobierno iraní es que utilizan técnicas de spearphishing, ingeniería social y suplantación de identidad de organizadores de conferencias y cumbres muy específicas para generar confianza y relaciones con sus objetivos. En este ataque, APT42 utilizó al grupo de expertos con sede en el Líbano para engañar a sus objetivos. Los organizadores de la Conferencia de Seguridad de Múnich y Cumbre Think 20 (T20) en Arabia Saudí fueron imitadas de forma similar.
El último informe de Mandiant sobre APT42 proporciona información más detallada sobre las diferencias y los vínculos entre los grupos APT35 y APT42, que Mandiant atribuye al IRGC iraní. El CERTFA, por ejemplo, ha atribuido una campaña a la APT42 en lugar de APT35 según esta publicación.
Detalles técnicos sobre las acciones posteriores al compromiso y los indicadores de compromiso
Durante la investigación, Human Rights Watch asistió a periodistas y defensores de los derechos humanos que se vieron comprometidos por esta campaña de phishing. Esto permitió a Human Rights Watch conocer las acciones de los atacantes después de la operación.
En al menos un caso, los atacantes ejecutaron una solicitud de Google Takeout, un servicio que exporta toda la actividad e información de una cuenta, incluidas las búsquedas web, los pagos, los viajes y las ubicaciones, los anuncios en los que se ha hecho clic, la actividad de YouTube y la información adicional de la cuenta. Este es el método más completo e intrusivo para exportar datos de una cuenta de Google. El uso de Google Takeout para extraer datos de una cuenta comprometida es coherente con las características de la herramienta HYPERSCRAPE que fue identificado por el equipo de Google TAG, aunque Human Rights Watch no pudo confirmar si la herramienta se utilizó a partir de los registros a los que tuvo acceso.
En el caso de varios objetivos, el atacante sincronizó el buzón comprometido con un servicio de Microsoft para exportar el contenido del buzón. Hasta donde sabemos, es la primera vez que se informa de este comportamiento como una táctica posterior al compromiso utilizada por APT42.
Las actividades de seguridad de Google revelaron que los atacantes accedieron a las cuentas de los objetivos casi inmediatamente después del compromiso y mantuvieron el acceso hasta que notificamos a los objetivos y les ayudamos a eliminar el dispositivo conectado del atacante.
Utilizando los registros de seguridad de Google, pudimos identificar las direcciones IP utilizadas para conectarse a una cuenta comprometida.
Observamos que el mismo nombre de ordenador estaba asociado a todas las cuentas comprometidas: DESKTOP-F8QNCC0.
Indicadores de compromiso
Números de WhatsApp utilizados por los atacantes:
- +1-234-312-1624
- +1-209-233-0560
- +1-804-500-1154
lindo[.]biz
hxxps://compartirarchivosenlínea[.]live/xxxxxx/BI-File-2022.html
hxxps://compartirarchivosenlínea[.]live/xxxxxx/G-check-first.html
hxxps://compartirarchivosenlínea[.]live/xxxxxx/G-broadcast.html
hxxps://compartirarchivosenlínea[.]live/xxxxxx/continue.html
hxxps://compartirarchivosenlínea[.]live/xxxxxx/index.php
hxxps://mailer-daemon[.]net/file=compartir=sistema/xxxxxx/primera.comprobación.html
hxxp://mailer-daemon[.]org/ xxxxxx /index.php
ESCRITORIO-F8QNCC0
5.160.239.XXX
Source link