المركز الوطني الأمن الإلكتروني أبلغت بريطانيا العظمى (NCSC) عن هجمات إلكترونية منتظمة ينفذها قراصنة من روسيا وإيران.
وفقًا لتقرير الخبراء ، تستخدم مجموعات المتسللين SEABORGIUM (المعروفة أيضًا باسم Callisto Group / TA446 / COLDRIVER / TAG-53) و TA453 (المعروف أيضًا باسم APT42 / Charming Kitten / Yellow Garuda / ITG18) تقنيات التصيد المستهدفة لمهاجمة المؤسسات والأفراد لغرض جمع المعلومات.
على الرغم من أن هاتين المجموعتين ليستا في تعاون مشترك ، إلا أنهما منفصلان عن بعضهما البعض بطريقة ما هجوم نفس أنواع المنظمات التي ضمت العام الماضي هيئات حكومية ، ومنظمات غير حكومية ، ومنظمات في قطاعي الدفاع والتعليم ، بالإضافة إلى أفراد مثل السياسيين والصحفيين والناشطين.
التصيد المستهدف هو ، إذا جاز التعبير ، تقنية معقدة التصيد، عندما يستهدف المهاجم شخصًا معينًا ويتظاهر بأن لديه معلومات ذات أهمية خاصة لضحيته. في حالة SEABORGIUM و TA453 ، يتأكدون من ذلك من خلال استكشاف الموارد المتاحة مجانًا للتعرف على هدفهم.
أنشأت كلتا المجموعتين حسابات مزيفة على وسائل التواصل الاجتماعي وتظاهرتا بأنهما من معارف الضحايا أو خبراء في مجالهم وصحفيين. عادةً ما يكون هناك اتصال غير ضار في البداية حيث يحاول SEABORGIUM وTA453 بناء علاقة مع ضحيتهما لكسب ثقتهما. ويشير الخبراء إلى أن هذا يمكن أن يستمر لفترة طويلة. يقوم المتسللون بعد ذلك بإرسال رابط ضار أو تضمينه في رسالة بريد إلكتروني أو في مستند مشترك إلى Microsoft وان درايف أو جوجل درايف.
في المركز الأمن الإلكتروني ذكرت أنه "في حالة واحدة [TA453] رتبت حتى مكالمة Zoom لمشاركة عنوان URL ضار في الدردشة أثناء المكالمة." كما تم الإبلاغ عن استخدام هويات مزيفة متعددة في هجوم تصيد واحد لزيادة المصداقية.
يؤدي اتباع الروابط عادةً إلى نقل الضحية إلى صفحة تسجيل دخول مزيفة يتحكم فيها المهاجمون ، وبعد إدخال بيانات اعتمادهم ، يتم اختراقهم. ثم يصل المتسللون إلى صناديق البريد الإلكتروني لضحاياهم لسرقة رسائل البريد الإلكتروني والمرفقات وإعادة توجيه رسائل البريد الإلكتروني الواردة إلى حساباتهم. بالإضافة إلى ذلك ، يستخدمون جهات الاتصال المحفوظة في البريد الإلكتروني المخترق للعثور على ضحايا جدد في الهجمات اللاحقة وبدء العملية من جديد.
يستخدم المتسللون من كلا المجموعتين حسابات من مزودي خدمة البريد الإلكتروني المشتركين لإنشاء معرفات مزيفة عندما يتفاعلون لأول مرة مع هدف. كما قاموا بإنشاء مجالات وهمية لمنظمات تبدو شرعية. شركة من الأمن الإلكتروني Proofpoint ، الذي يتتبع مجموعة TA2020 الإيرانية منذ عام 453 ، يردد إلى حد كبير نتائج NCSC: "يمكن أن تبدأ حملات [TA453] بأسابيع من المحادثات الودية مع الحسابات التي أنشأها المتسللون قبل محاولة الاختراق." كما أشاروا إلى أن أهداف المجموعة الأخرى شملت باحثين طبيين ومهندس طيران ووكيل عقارات ووكالات سفر.
بالإضافة إلى ذلك ، أصدرت الشركة التحذير التالي: "يجب على الباحثين العاملين في قضايا الأمن الدولي ، وخاصة أولئك المتخصصين في دراسات الشرق الأوسط أو الأمن النووي ، توخي مزيد من اليقظة عند تلقي رسائل بريد إلكتروني غير مرغوب فيها. على سبيل المثال ، يجب على الخبراء الذين اتصل بهم الصحفيون التحقق من موقع المنشور للتأكد من أن عنوان البريد الإلكتروني يخص مراسل شرعي ".
مثير للاهتمام أيضًا: