На первом этапе атаки хакеры связываются со своими целями, выдавая себя за известных контактов или службу технической поддержки, и обманом заставляют их принять ссылку на вредоносный файл, замаскированный под легитимные приложения, такие как Telegram и WhatsApp*. Как только цель устанавливает вредоносное ПО, второй этап атаки подключает зараженную жертву к ботам Telegram, которые позволяют хакерам удаленно управлять компьютером жертвы. Это дает хакерам возможность удаленно контролировать устройства жертв для кражи файлов, создания снимков экрана и записи звонков в Zoom, по данным ФБР.
Использование Telegram для удаленного управления устройством жертвы является распространенной тактикой хакеров для сокрытия вредоносной активности среди легитимного сетевого трафика, что затрудняет ее выявление специалистами по кибербезопасности и антивирусными продуктами.
По данным ФБР, хакеры, ответственные за эти атаки, предположительно работают на Министерство разведки и безопасности Ирана (MOIS). ФБР заявило, что эти атаки являются примером попыток иранских государственных хакеров продвигать «геополитическую повестку» режима.
В предупреждении ФБР упомянуло проиранскую и пропалестинскую группу хактивистов Handala, хотя неясно, были ли атаки, упомянутые в предупреждении, совершены этой группой.
Ранее в этом месяце Handala взяла на себя ответственность за атаку на гиганта медицинских технологий Stryker, в результате которой были стерты данные с десятков тысяч устройств сотрудников.
В сообщении по форме 8-K, поданном в Комиссию по ценным бумагам и биржам США в понедельник, Stryker сообщила, что все еще восстанавливается после взлома.
На прошлой неделе Министерство юстиции США обвинило Handala в том, что она является прикрытием для иранского правительства, в частности MOIS, и стоит за взломом Stryker. В то же время ФБР вывело из строя и изъяло два веб-сайта, связанных с Handala, и еще два сайта, связанные с другой иранской группой хактивистов под названием «Homeland Justice». В недавнем предупреждении ФБР ведомство заявило, что обе группы связаны и контролируются MOIS.
ФБР не ответило на запрос о предоставлении дополнительной информации. Telegram также не ответил на запрос о комментарии.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lorenzo Franceschi-Bicchierai
