Íránská vláda špehuje odpůrce režimu a vlastní obyvatele
09.02.2021
Íránská vláda špehuje odpůrce režimu a vlastní obyvatele
  • Skupina APT-C-50 špehuje mobilní telefony disidentů. Útočníci maskují hrozby za populární aplikace. Odhaleny byly útoky na 1200 obětí žijících v sedmi zemích (Íránu, USA, Velké Británii, Pákistánu, Afghánistánu, Turecku a Uzbekistánu) a úspěšně bylo infikováno více než 600 zařízení. Check Point upozornil příslušné orgány v USA a Evropě.

  • Skupina Infy špehuje počítače disidentů a krade citlivá data z domácích a firemních počítačů. Uživatele se snaží přimět k otevření škodlivých e-mailových příloh. Check Point a SafeBreach mají informace o obětech z 12 zemí.

  • V útocích byla použita řada nových technik.

 

 

Check Point Research analyzoval dvě íránské kybernetické skupiny a odhalil, že íránská vláda nadále špehuje mobilní telefony a počítače odpůrců režimu, z infikovaných zařízení krade zprávy, informace o poloze a další citlivá data a pořizuje nahrávky telefonních hovorů.

Skupina APT-C-50 špehuje mobilní telefony disidentů, pořizuje nahrávky telefonních hovorů a krade zprávy, obrázky a informace o poloze. V kampani Domestic Kitten se APT-C-50 zaměřila na více než 1200 osob žijících v sedmi zemích a úspěšně infikovala už více než 600 zařízení. Skupina Infy (nebo také Prince of Persia) špehuje domácí a firemní počítače disidentů a krade citlivá data. Check Point odhalil s pomocí výzkumníků ze SafeBreach kampaň Infy zaměřenou na disidenty ve 12 zemích. Obě kampaně, Domestic Kitten a Infy, jsou stále aktivní.

Domestic Kitten zneužívá ke špehování populární aplikace

Check Point poprvé odhalil operaci Domestic Kitten v roce 2018. Nyní se povedlo rozkrýt další detaily o této masivní operaci proti íránským občanům. Od roku 2017 probíhalo v rámci Domestic Kitten 10 unikátních kampaní, z čehož čtyři jsou stále aktivní, poslední byla spuštěna v listopadu 2020.

Domestic Kitten využívá k útokům na vytipované cíle malware FurBall, který krade informace o zařízení, SMS zprávy a informace o hovorech, může zneužít mikrofon zařízení pro nahrávání okolních zvuků a rozhovorů, může dokonce nahrávat telefonáty, krást mediální soubory (například videa a fotografie), získat seznam nainstalovaných aplikací, sledovat polohu zařízení nebo krást soubory z externích úložišť.

Útočníci ukrývají FurBall do napodobenin oblíbených aplikací, Check Point objevil například imitace následujících aplikací:

  • VIPRE Mobile Security – mobilní bezpečnostní aplikace
  • ISIS Amaq – zpravodajský server pro agenturu Amaq
  • Exotic Flowers – populární hra z Google Play
  • MyKet – obchod s aplikacemi pro Android
  • Iranian Woman Ninja – aplikace s wallpapery
  • Mohen Restaurant – aplikace pro teheránskou restauraci

 


FurBall se ukrývá například v napodobeninách aplikací Exotic Flowers nebo ISIS Amaq

Útočníci šíří malware různými způsoby, v některých kampaních jsou využívány íránské blogy nebo kanály na Telegramu, v jiných jsou rozesílány SMS s odkazem na škodlivou aplikaci.

Kampaň Domestic Kitten zatím cílila na více než 1200 občanů a úspěšně infikovala přes 600 zařízení v sedmi zemích: Íránu, Spojených státechy, Velká Británii, Pákistánu, Afghánistánu, Turecku a Uzbekistánu. Mezi oběťmi jsou odpůrci režimu, osobnosti opozice, obhájci ISIS, kurdská menšina v Íránu a další.

Infy využívá k útokům infikované e-mailové přílohy

Check Point a SafeBreach odhalily detaily o kyberkampani Infy, která s přestávkami běží od roku 2007. Nejnověji napadá počítače pomocí podvodných e-mailů s atraktivním obsahem a škodlivou přílohou. Po otevření dokumentu je na počítači oběti nainstalován špionážní nástroj, což útočníkům umožňuje krást citlivá data.

Check Point upozorňuje na dokumenty nedávno použité skupinou Infy. První dokument obsahuje fotografii Mojtaba Biranvanda, guvernéra města Dorud v íránské provincii Lorestan. Dokument je v perštině a obsahuje informace o kanceláři guvernéra a jeho údajné telefonní číslo. Druhý dokument, rovněž v perštině, obsahuje logo ISAAR, íránské vládou sponzorované nadace pro mučedníky a veterány, která poskytuje půjčky zdravotně postiženým veteránům a rodinám mučedníků.

 

 

 

Příklad dokumentu zaslaného potenciálním obětem, který obsahuje fotografii guvernéra Mojtaba Biranvanda

 

 

 

ISAAR dokument poslaný potenciálním obětem

Podle výzkumného týmu jsou technologické schopnosti Infy nesrovnatelně vyšší než u většiny ostatních íránských kampaní. Útočí jen na několik pečlivě vybraných cílů a je vynaloženo velké úsilí, aby nedošlo k odhalení a přerušení operace.

„Je zřejmé, že íránská vláda investuje značné prostředky do operací ve svém kybernetickém prostoru. O obou kampaních sice už nějakou dobu víme, ale nyní se podařilo odhalit další detaily. Zdá se, že navzdory odhalení a opatřením provozovatelé těchto íránských kyberšpionážních kampaní pokračují dále ve své činnosti. Operátoři kampaní v případě nezdaru upraví svou taktiku a čekají, až se situace uklidní, aby mohli spustit další fázi. Za zmínku stojí i obrovské zdroje, které je íránský režim ochotný do kampaní investovat. Odhalili jsme několik nových technik, které byly použity v těchto kampaních vůbec poprvé. Nejnovější analýza ukazuje sílu kybernetických útoků, když je využívají vlády. Je proto potřeba používat mobilní telefony, počítače a vlastně jakákoli elektronická zařízení velmi opatrně,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point.

Doporučujeme proto používat nějaké pokročilé mobilní bezpečnostní řešení s integrovaným antivirem a detekcí hrozeb.

Více informací najdete v analýze kyberbezpečnostní společnosti Check Point:

https://research.checkpoint.com/2021/domestic-kitten-an-inside-look-at-the-iranian-surveillance-operations/