Nationaal centrum cyberbeveiliging van Groot-Brittannië (NCSC) meldt dat er regelmatig cyberaanvallen worden uitgevoerd door hackers uit Rusland en Iran.
Volgens het deskundigenrapport gebruiken hackergroepen SEABORGIUM (ook bekend als Callisto Group/TA446/COLDRIVER/TAG-53) en TA453 (ook bekend als APT42/Charming Kitten/Yellow Garuda/ITG18) gerichte phishingtechnieken om instellingen en particulieren aan te vallen met als doel informatie verzamelen.
Hoewel deze twee groepen niet onder één hoedje spelen, zijn ze op de een of andere manier gescheiden van elkaar aanval dezelfde soorten organisaties, waaronder vorig jaar overheidsinstanties, niet-gouvernementele organisaties, organisaties in de defensie- en onderwijssector, maar ook individuen zoals politici, journalisten en activisten.
Gerichte phishing is als het ware een uitgekiende techniek phishing, wanneer een aanvaller zich richt op een specifieke persoon en doet alsof hij over informatie beschikt die van bijzonder belang is voor zijn slachtoffer. In het geval van SEABORGIUM en TA453 zorgen ze hiervoor door vrij beschikbare bronnen te verkennen om meer te weten te komen over hun doelwit.
Beide groepen creëerden nepprofielen op sociale media en deden zich voor als bekenden van de slachtoffers of experts in hun vakgebied en journalisten. In eerste instantie is er meestal sprake van een onschuldig contact, aangezien SEABORGIUM en TA453 proberen een relatie met hun slachtoffer op te bouwen om hun vertrouwen te winnen. Deskundigen merken op dat dit een lange periode kan duren. Hackers sturen vervolgens een kwaadaardige link, sluiten deze in een e-mail of in een gedeeld document in Microsoft Eén schijf of Google Drive.
In het midden cyberbeveiliging meldde dat "[TA453] in één geval zelfs een Zoom-oproep regelde om tijdens het gesprek een kwaadaardige URL in de chat te delen." Er is ook melding gemaakt van het gebruik van meerdere valse identiteiten in een enkele phishingaanval om de geloofwaardigheid te vergroten.
Door de links te volgen, gaat het slachtoffer meestal naar een valse inlogpagina die wordt beheerd door de aanvallers, en nadat ze hun inloggegevens hebben ingevoerd, worden ze gehackt. Hackers openen vervolgens de e-mailinboxen van hun slachtoffers om e-mails en bijlagen te stelen en inkomende e-mails om te leiden naar hun accounts. Bovendien gebruiken ze de opgeslagen contacten in de gecompromitteerde e-mail om nieuwe slachtoffers te vinden bij volgende aanvallen en het proces helemaal opnieuw te beginnen.
Hackers van beide groepen gebruiken accounts van bekende e-mailproviders om valse ID's te maken wanneer ze voor het eerst met een doelwit communiceren. Ze creëerden ook nepdomeinen voor ogenschijnlijk legitieme organisaties. Bedrijf van cyberbeveiliging Proofpoint, dat de Iraanse TA2020-groep sinds 453 volgt, sluit grotendeels aan bij de bevindingen van het NCSC: "[TA453]-campagnes kunnen beginnen met wekenlange vriendelijke gesprekken met door hackers gemaakte accounts voordat ze proberen te hacken." Ze merkten ook op dat de andere doelwitten van de groep medische onderzoekers, een ruimtevaartingenieur, een makelaar in onroerend goed en reisbureaus waren.
Daarnaast gaf het bedrijf de volgende waarschuwing: “Onderzoekers die werken aan internationale veiligheidskwesties, vooral degenen die gespecialiseerd zijn in het Midden-Oosten of nucleaire veiligheidsstudies, moeten extra waakzaam zijn bij het ontvangen van ongevraagde e-mails. Experts waarmee journalisten contact opnemen, moeten bijvoorbeeld de website van de publicatie controleren om er zeker van te zijn dat het e-mailadres van een legitieme verslaggever is."
Ook interessant: