Иранские хакеры провели изощренную атаку на Израиль

Хакеры взломали аккаунт генерала в резерве и переписывались с высокопоставленными чиновниками, в том числе с экс-министром Ципи Ливни

Марк Штоде,

Хакер (иллюстрация)
Хакер (иллюстрация)
iStock

Иранские хакеры взломали почтовый ящик генерала в резерве, и, выдавая себя за него, попытались провести кибератаки против высокопоставленных политических, военных, академических и деловых деятелей, включая бывшего министра иностранных дел Ципи Ливни, бывшего посла США в Израиле, главу важного научно-исследовательского института, старшего научного сотрудника по вопросам Ближнего Востока, вице-президента крупной охранной компании и др. Об этом сообщает компания по информационной безопасности «Check Point».

В течение как минимум полугода, с декабря 2021 года до прошлой недели, иранские хакеры от имени генерала после взлома его электронной почты переписывались с высокопоставленными чиновниками с целью заставить их передать различные документы.

Различные переписки хакеров с объектами, которых они пытались атаковать, включали отправку документов с приглашением на зарубежную конференцию и статей об иранской ядерной программе - и для этого жертвам требовалось ввести пароль от электронной почты.

В течение декабря бывший министр иностранных дел получил несколько электронных писем на иврите от того же генерала, в том числе просьбу прочитать статью, которую он написал об инцидентах с безопасностью в 2021 году.

После нескольких электронных писем, в которых он призывал Ливни открыть файл, используя ее пароль электронной почты, Ливни лично обратилась к генералу, который не понял, о чем идет речь.

Ливни переслала переписку в «Check Point», из которой компания отследила отправителей и файлы и выяснила, насколько широкомасштабной была операция.

В рассматриваемые месяцы иранским злоумышленникам также удалось заполучить частную переписку по электронной почте между главой исследовательского института в Израиле и бывшим послом США в Израиле и использовать ее для создания дальнейшей переписки. В переписке иранцы выдавали себя за посла, используя другое электронное письмо, и отправляли главе института файлы, которые якобы касаются иранской ядерной программы, и использовали ссылку для фишинговых атак.

Далее было установлено, что злоумышленники создали инфраструктуру для получения телефонных номеров жертв якобы в рамках процесса вскрытия документов. Метод работал следующим образом: во-первых, после нажатия на документ, прикрепленный к письму, или ссылку в письме, всплывает страница с просьбой ввести идентификационный пароль в учетную запись пользователя (пароль, который будет скопирован злоумышленниками) Затем пользователь отправлял запрос на дальнейшую проверку в виде SMS-кода, который будет отправлен на устройство, связанное с учетной записью электронной почты. Следует отметить, что номер телефона внутри страницы имперсонации был специально адаптирован для целей атаки - его номер телефона.