Федеральное бюро расследований США (ФБР) предупредило специалистов по сетевой безопасности о том, что иранские хакеры, связанные с Министерством разведки и безопасности (MOIS) страны, используют Telegram в атаках с использованием вредоносного ПО.
В экстренном оповещении, выпущенном в пятницу, ФБР заявляет, что Telegram используется в качестве инфраструктуры командно-контрольного центра (C2) вредоносным ПО, нацеленным на журналистов, критикующих иранское правительство, иранских диссидентов и различные другие оппозиционные группы по всему миру.
Бюро связало эти атаки с иранской хактивистской группой Handala (также известной как Handala Hack Team, Hatef, Hamsa), связанной с Ираном и выступающей в поддержку Палестины, а также с финансируемой иранским государством группой угроз Homeland Justice, связанной с Корпусом стражей исламской революции (КСИР) Ирана.
В ходе этих атак иранские хакеры используют социальную инженерию для заражения устройств жертв вредоносным ПО для Windows, которое позволяет им извлекать скриншоты или файлы с скомпрометированных компьютеров.
“В связи с обострением геополитической обстановки на Ближнем Востоке и текущим конфликтом ФБР привлекает внимание к этой киберактивности MOIS”, — сообщило бюро.
“Это вредоносное ПО привело к сбору разведывательной информации, утечкам данных и репутационному ущербу для пострадавших сторон. ФБР публикует эту информацию для максимального повышения осведомленности о вредоносной киберактивности Ирана и предоставления стратегий по смягчению последствий для снижения риска компрометации”.
Это предупреждение было опубликовано через день после того, как ФБР изъяло четыре домена (handala-redwanted[.]to, handala-hack[.]to, justicehomeland[.]org и karmabelow80[.]org).
Веб-сайты, доступные через изъятые домены в открытой сети, использовались группами угроз Handala и Homeland Justice, а также третьим субъектом угроз, отслеживаемым как Karma Below, во время их атак и для публикации конфиденциальных документов и данных, украденных в результате кибератак, нацеленных на жертв в Соединенных Штатах и по всему миру.
Эти действия последовали за кибератакой Handala на американского медицинского гиганта Stryker, в ходе которой было выполнено заводское сброс примерно 80 000 устройств (включая персональные компьютеры сотрудников и мобильные устройства, управляемые компанией) с использованием команды очистки Microsoft Intune после компрометации учетной записи администратора домена Windows и создания новой учетной записи глобального администратора.
На прошлой неделе ФБР также предупредило, что субъекты угроз, связанные с российской разведкой, нацелены на пользователей Signal и WhatsApp* в фишинговых кампаниях, которые уже привели к компрометации тысяч учетных записей.
“Активность нацелена на лиц, представляющих высокую разведывательную ценность, таких как действующие и бывшие должностные лица правительства США, военнослужащие, политические деятели и журналисты”, — заявило ФБР в общественном заявлении, выпущенном после того, как нидерландские и французские органы по кибербезопасности описали аналогичные операции по угону учетных записей.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
