Техно Интернет Иранские хакеры 18 месяцев выдавали себя за инструктора по аэробике, чтобы распространить вирус

Иранские хакеры 18 месяцев выдавали себя за инструктора по аэробике, чтобы распространить вирус

Автор:

Александр Гайдамашко

21:02, 29 июля 2021

2 мин

Читати новину українською

Иранские хакеры 18 месяцев выдавали себя за инструкторшу по аэробике

Иллюстративное фото / Sergey Zolkin

Группа хакеров TA456, также известная под названиями Tortoiseshell и Imperial Kitten, 18 месяцев входила в доверие к работникам различных компаний, чтобы в удобный момент заразить их компьютеры вирусом. Для этого они придумали инструктора по аэробике Марселлу Флорес.

Источник:

Proofpoint

Страница вымышленной личности велась на Facebook. Целью злоумышленников были компании-подрядчики, работающие в сфере воздушно-космической обороны США, особенно те, кто участвует в операциях на Ближнем Востоке.

Интересно директора Директора Huawei немедленно уволили после публичного оскорбления в адрес Илона Маска

Марселла Флорес – личность, которой не существовало

Сторінка Марселли Флорес
Страница Марселлы Флорес в Facebook / Фото Proofpoint

Исследователи пишут, что для атаки еще в 2019 году хакеры создали в Facebook и Instagram профиль Марселлы Флорес, которая якобы была инструктором по аэробике.

Хакеры не спешили и потратили месяцы на установление контакта со своими целями, переписываясь с ними по почте и в личных сообщениях, прежде чем перейти к попыткам запустить вирус к компьютерам.

Лишь в начале 2021 года злоумышленники использовали учетную запись Gmail для атаки.
С этого адреса уже давно продолжалась переписка, поэтому жертвы доверяли ей. Ранее они получали различные опросы, которые касались диеты, или видеофайлы.

Опитування від Марселли Флорес
Опросы о рационе от Марселлы Флорес / Фото Proofpoint

Вирус Lempo

Приманка использовалась для распространения обновленной версии вируса Lideric, которую исследователи называют Lempo.
Lempo тайно закрепляется в системе жертвы, позволяя злоумышленникам искать и похищать конфиденциальную информацию, включая имена пользователей и пароли.
В Proofpoint отмечают, что невозможно сказать наверняка, были ли эти атаки успешными.
В теории, похищенные учетные данные могли помочь злоумышленникам развивать атаки и шпионские кампании дальше.
Кража данных у подрядчиков, работающих в сфере оборонной промышленности, могла дать хакерам возможность продвинуться дальше по цепочке поставок и к сетям оборонных и аэрокосмических компаний.

Сейчас профиль Марселлы Флорес деактивирован.

Ранее в Facebook сообщали о ликвидации сложной кибершпионской кампании, за которой стояли иранские группировки Tortoiseshell. По данным специалистов социальной сети, кампания была направлена против 200 военнослужащих и компаний оборонного и аэрокосмического секторов в США, Великобритании и Европе. Для атак хакеры использовали "большую сеть" поддельных онлайн-личностей.