Íránská vláda špehuje odpůrce režimu a vlastní obyvatele – odhaleny kyberútoky na 1200 osob, úspěšně infikováno více než 600 zařízení

  • Skupina APT-C-50 špehuje mobilní telefony disidentů. Útočníci maskují hrozby za populární aplikace. Odhaleny byly útoky na 1200 obětí žijících v sedmi zemích (Íránu, USA, Velké Británii, Pákistánu, Afghánistánu, Turecku a Uzbekistánu) a úspěšně bylo infikováno více než 600 zařízení. Check Point upozornil příslušné orgány v USA a Evropě.
  • Skupina Infy špehuje počítače disidentů a krade citlivá data z domácích a firemních počítačů. Uživatele se snaží přimět k otevření škodlivých e-mailových příloh. Check Point a SafeBreach mají informace o obětech z 12 zemí.
  • V útocích byla použita řada nových technik.

PRAHA – 8. února 2021 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, analyzoval dvě íránské kybernetické skupiny a odhalil, že íránská vláda nadále špehuje mobilní telefony a počítače odpůrců režimu, z infikovaných zařízení krade zprávy, informace o poloze a další citlivá data a pořizuje nahrávky telefonních hovorů.

Skupina APT-C-50 špehuje mobilní telefony disidentů, pořizuje nahrávky telefonních hovorů a krade zprávy, obrázky a informace o poloze. V kampani Domestic Kitten se APT-C-50 zaměřila na více než 1200 osob žijících v sedmi zemích a úspěšně infikovala už více než 600 zařízení. Skupina Infy (nebo také Prince of Persia) špehuje domácí a firemní počítače disidentů a krade citlivá data. Check Point odhalil s pomocí výzkumníků ze SafeBreach kampaň Infy zaměřenou na disidenty ve 12 zemích. Obě kampaně, Domestic Kitten a Infy, jsou stále aktivní.

Domestic Kitten zneužívá ke špehování populární aplikace

Check Point poprvé odhalil operaci Domestic Kitten v roce 2018. Nyní se povedlo rozkrýt další detaily o této masivní operaci proti íránským občanům. Od roku 2017 probíhalo v rámci Domestic Kitten 10 unikátních kampaní, z čehož čtyři jsou stále aktivní, poslední byla spuštěna v listopadu 2020.

Domestic Kitten využívá k útokům na vytipované cíle malware FurBall, který krade informace o zařízení, SMS zprávy a informace o hovorech, může zneužít mikrofon zařízení pro nahrávání okolních zvuků a rozhovorů, může dokonce nahrávat telefonáty, krást mediální soubory (například videa a fotografie), získat seznam nainstalovaných aplikací, sledovat polohu zařízení nebo krást soubory z externích úložišť.

Útočníci ukrývají FurBall do napodobenin oblíbených aplikací, Check Point objevil například imitace následujících aplikací:

  • VIPRE Mobile Security – mobilní bezpečnostní aplikace
  • ISIS Amaq – zpravodajský server pro agenturu Amaq
  • Exotic Flowers – populární hra z Google Play
  • MyKet – obchod s aplikacemi pro Android
  • Iranian Woman Ninja – aplikace s wallpapery
  • Mohen Restaurant – aplikace pro teheránskou restauraci

FurBall se ukrývá například v napodobeninách aplikací Exotic Flowers nebo ISIS Amaq

Útočníci šíří malware různými způsoby, v některých kampaních jsou využívány íránské blogy nebo kanály na Telegramu, v jiných jsou rozesílány SMS s odkazem na škodlivou aplikaci.

Kampaň Domestic Kitten zatím cílila na více než 1200 občanů a úspěšně infikovala přes 600 zařízení v sedmi zemích: Íránu, Spojených státechy, Velká Británii, Pákistánu, Afghánistánu, Turecku a Uzbekistánu. Mezi oběťmi jsou odpůrci režimu, osobnosti opozice, obhájci ISIS, kurdská menšina v Íránu a další.

Infy využívá k útokům infikované e-mailové přílohy

Check Point a SafeBreach odhalily detaily o kyberkampani Infy, která s přestávkami běží od roku 2007. Nejnověji napadá počítače pomocí podvodných e-mailů s atraktivním obsahem a škodlivou přílohou. Po otevření dokumentu je na počítači oběti nainstalován špionážní nástroj, což útočníkům umožňuje krást citlivá data.

Check Point upozorňuje na dokumenty nedávno použité skupinou Infy. První dokument obsahuje fotografii Mojtaba Biranvanda, guvernéra města Dorud v íránské provincii Lorestan. Dokument je v perštině a obsahuje informace o kanceláři guvernéra a jeho údajné telefonní číslo. Druhý dokument, rovněž v perštině, obsahuje logo ISAAR, íránské vládou sponzorované nadace pro mučedníky a veterány, která poskytuje půjčky zdravotně postiženým veteránům a rodinám mučedníků.

Příklad dokumentu zaslaného potenciálním obětem, který obsahuje fotografii guvernéra Mojtaba Biranvanda

ISAAR dokument poslaný potenciálním obětem

Podle výzkumného týmu jsou technologické schopnosti Infy nesrovnatelně vyšší než u většiny ostatních íránských kampaní. Útočí jen na několik pečlivě vybraných cílů a je vynaloženo velké úsilí, aby nedošlo k odhalení a přerušení operace.

„Je zřejmé, že íránská vláda investuje značné prostředky do operací ve svém kybernetickém prostoru. O obou kampaních sice už nějakou dobu víme, ale nyní se podařilo odhalit další detaily. Zdá se, že navzdory odhalení a opatřením provozovatelé těchto íránských kyberšpionážních kampaní pokračují dále ve své činnosti. Operátoři kampaní v případě nezdaru upraví svou taktiku a čekají, až se situace uklidní, aby mohli spustit další fázi. Za zmínku stojí i obrovské zdroje, které je íránský režim ochotný do kampaní investovat. Odhalili jsme několik nových technik, které byly použity v těchto kampaních vůbec poprvé. Nejnovější analýza ukazuje sílu kybernetických útoků, když je využívají vlády. Je proto potřeba používat mobilní telefony, počítače a vlastně jakákoli elektronická zařízení velmi opatrně,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point.

Doporučujeme proto používat nějaké pokročilé mobilní bezpečnostní řešení s integrovaným antivirem a detekcí hrozeb. Například Check Point SandBlast Mobile je špičkové řešení, které chrání před nejrůznějšími mobilními útoky, včetně škodlivých aplikací.

Více informací najdete v analýze kyberbezpečnostní společnosti Check Point:

https://research.checkpoint.com/2021/domestic-kitten-an-inside-look-at-the-iranian-surveillance-operations/

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.