Национальная служба информационно-коммуникационных технологий раскрывает детали изощренной иранской шпионской операции.
Национальная служба информационно-коммуникационных технологий рассказала о новой иранской шпионской операции, о которой узнало правительственное подразделение киберзащиты ЯХАВ.
Операцию, связанную с разведкой Корпуса стражей исламской революции (IRGC), назвали SpearSpecter. Она показывает важное изменение в подходах: вместо быстрого взлома хакеры сначала выходят на личный контакт, завоевывают доверие и только потом атакуют.
По данным ЯХАВ, злоумышленники заранее собирают информацию о человеке, потом пишут ему в WhatsApp, представляясь обычными пользователями. Чаще всего они предлагают участие в конференции или профессиональной встрече. Только после длительного общения они присылают вредоносную ссылку.
После нажатия начинается атака: происходит кража данных входа в реальные аккаунты, а также установка скрытой программы TAMECAT, которая дает доступ к устройству жертвы.
В этой кампании используются необычные методы: работа через встроенные функции Windows и маскировка трафика под обычные сервисы вроде Telegram и Discord. Такие техники ранее не фиксировались.
Все это говорит о том, что иранская разведка усиливает свои кибероперации против Израиля и все чаще делает ставку на долгую подготовку и создание доверительных отношений.
В Национальной службе подчеркивают, что опубликование подробностей операции должно помочь людям вовремя распознавать подозрительные сообщения, быть осторожными при общении с незнакомцами и не передавать важные данные.
Руководитель подразделения киберзащиты Нир Бар-Йосеф отметил, что расследование, которое помогло раскрыть операцию, показывает важность работы разведчиков и технических специалистов.
Он добавил, что в киберпространстве сейчас заметна новая тенденция: атаки все чаще совмещают личный контакт, подмену личности и прямой технический взлом. Поэтому обществу нужно быть особенно внимательным при получении неожиданых сообщений и запросов.
комментарии