Af Eskil Sørensen, 27/01/23
Storbritanniens cybersikkerhedscenter har udsendt advarsler om en igangværende spionagekampagne, der kommer fra russiske og iranske aktører.
Det skriver The Record.
Der er tale om to grupper, der er identificeret som Rusland-baserede SEABORGIUM og Iran-baserede APT42 eller Charming Kitten. I stedet for at sende phishingmails, kontakter de deres mål på en anden måde for at opbygge et tillidsforhold. Herefter forsøger grupperne at narre deres ofre til at besøge et websted, der ligner den rigtige login-side for en legitim tjeneste, såsom Gmail eller Office 365.
Problemet er, at loginsiderne er lavet til at indhøste login- og legitimationsoplysninger.
Rettet mod bl.a. academia
Der er altså tale om klassiske spearphishingangreb, der er kendetegnet ved at være mere tidskrævende og omkostningstunge at iværksætte i modsætning til de almindelige phishingkampagner, der blot kræver en masse emailadresser og en bred henvendelse i håbet om, at nogle ofre falder i fælden. Spearphishing er derfor også noget, der typisk bruges i forbindelse med cyberspionage.
The Record skriver, at kampagnen er rettet mod personer, der arbejder i academia, forsvaret, regeringsinstitutioner, ngo'er, tænketanke, såvel som politikere, journalister og aktivister. Angriberne bruger open source til at udføre rekognoscering, herunder sociale medier og professionelle netværksplatforme, hedder det.
The Record gengiver en mailhenvendelse fra SEABORGIUM, hvor der henvises til den øgede spænding i det internationale samfund, og at afsender har noteret sig forsøg på angreb. Derfor tilbydes personlig træning af medarbejdere på instituttet, og der linkes til en vedhæftet fil.
Dette fører hen til en server, hvor modtageren bliver bedt om at indtaste oplysninger. Med disse oplysninger er der adgang for trusselsaktører til at stjæle e-mails og vedhæftede filer fra offerets indbakke.
Fido er sagen
Hvad værre er, er at aktørerne også omgår to-faktorlogin. The Record fortæller, den iranskbaserede gruppe Charming Kitten angiveligt står bag en igangværende international cyberspionagekampagne, der anvender samme metoder som SEABORGIUM. Nemlig at kompromittere konti ved at få brugerne til at indtaste deres loginoplysninger på en webside, som er kontrolleret af en ekstern server.
Disse websider er designet til at fange både målets e-mail-adgangskode og eventuelle faktor-to koder. Dog kan de ikke omgå de hardware-baserede godkendelsesnøgler, der er baseret på FIDO-protokollerne.
Links:
https://therecord.media/british-cyber-agency-issues-warning-over-russian...