Prezenter operacji
„ Operacja Newscaster ”, jak nazwała ją amerykańska firma iSIGHT Partners w 2014 r., to tajna operacja cyberszpiegowska skierowana do wojskowych i polityków korzystających z sieci społecznościowych , rzekomo przeprowadzona przez Iran . Operacja została opisana jako „twórcza”, „długotrwała” i „bezprecedensowa”. Według iSIGHT Partners jest to „najbardziej rozbudowana kampania cyberszpiegowska wykorzystująca inżynierię społeczną , jaką do tej pory odkryto w jakimkolwiek kraju”.
Percepcje ISight
W dniu 29 maja 2014 r. Firma iSIGHT Partners zajmująca się badaniem cyberszpiegostwa z siedzibą w Teksasie opublikowała raport ujawniający operację, którą określa jako „Nadawca wiadomości” od co najmniej 2011 r., A celem była co najmniej 2000 osób w Stanach Zjednoczonych , Izraelu , Wielkiej Brytanii , Arabii Saudyjskiej , Syrii , Irak i Afganistan .
Ofiary, które nie zostały zidentyfikowane w dokumencie ze względów bezpieczeństwa, to wyższy rangą personel wojskowy i dyplomatyczny USA, kongresmani, dziennikarze, lobbyści, think tankowcy i kontrahenci obronni, w tym czterogwiazdkowy admirał .
Firma nie była w stanie określić, jakie dane mogli ukraść hakerzy.
Według raportu iSIGHT Partners , hakerzy wykorzystali 14 „opracowanych fałszywych” osób, które twierdziły, że pracują w dziennikarstwie, rządzie i kontraktach obronnych i byli aktywni na Facebooku , Twitterze , LinkedIn , Google+ , YouTube i Bloggerze . Aby zdobyć zaufanie i wiarygodność, użytkownicy sfabrykowali fikcyjną stronę dziennikarską NewsOnAir.org , korzystając z treści z mediów takich jak Associated Press , BBC , Reuters i zapełniali swoje profile fikcyjnymi treściami osobistymi. Następnie próbowali zaprzyjaźnić się z docelowymi ofiarami i wysyłali im „przyjazne wiadomości” za pomocą spear-phishingu w celu kradzieży haseł e-mail i ataków oraz infekowania ich „niezbyt wyrafinowanym” złośliwym oprogramowaniem do eksfiltracji danych.
Raport mówi, że NewsOnAir.org był zarejestrowany w Teheranie i prawdopodobnie hostowany przez irańskiego dostawcę. Perskie słowo „Parastoo” ( پرستو ; oznaczające jaskółkę ) było używane jako hasło do złośliwego oprogramowania powiązanego z grupą, która wydawała się działać w godzinach pracy w Teheranie , ponieważ czwartki i piątki miały wolne. Partnerzy iSIGHT nie byli w stanie potwierdzić, czy hakerzy mieli powiązania z irańskim rządem .
Analiza
Według Al Jazeery jednostka cybernetyczna chińskiej armii przeprowadziła dziesiątki podobnych ataków phishingowych .
Morgan Marquis-Boire , badacz z University of Toronto, stwierdził, że kampania „wydawała się być dziełem tych samych aktorów, którzy przeprowadzali ataki złośliwego oprogramowania na irańskich dysydentów i dziennikarzy przez co najmniej dwa lata”.
Franz-Stefan Gady, starszy wykładowca w EastWest Institute i członek-założyciel Worldwide Cybersecurity Initiative, stwierdził: „Nie robią tego dla szybkiej złotówki, ekstrapolacji danych i wyłudzenia od organizacji. Są w tym na dłuższą metę. Wyrafinowana inżynieria ludzka była preferowaną metodą aktorów państwowych”.
Reakcje
- Facebooka powiedział, że firma odkryła grupę hakerów podczas badania podejrzanych zaproszeń do znajomych i usunęła wszystkie fałszywe profile.
- LinkedIn powiedział, że bada raport, chociaż żaden z 14 odkrytych fałszywych profili nie był obecnie aktywny.
- Twitter odmówił komentarza.
- Federalne Biuro Śledcze powiedziało Al Jazeerze, że „było świadome raportu, ale nie było w nim żadnego komentarza”.
