Irańscy cyberprzestępcy podszyli się pod niemiecką agencję modelek, aby nielegalnie pozyskiwać dane użytkowników odwiedzających sfałszowaną witrynę. Analitycy Palo Alto Networks przestrzegają, że kampanie inspirowane przez cyberwywiady wrogich państw mogą się nasilać, zwłaszcza w kontekście niestabilnej sytuacji geopolitycznej w Europie środkowo-wschodniej.
Podczas monitorowania infrastruktury sieciowej, którą eksperci z Unit 42 Palo Alto Networks ocenili jako prawdopodobnie powiązaną z irańskimi cyberprzestępcami, odkryto stronę internetową podszywającą się pod agencję Mega Model Agency z siedzibą w Hamburgu. Cyberprzestępcy stworzyli fałszywą stronę internetową dokładnie odwzorowującą branding, układ i zawartość prawdziwej witryny. Jednak klon zawierał zaszyfrowany skrypt przeznaczony do zbierania szczegółowych informacji o odwiedzających i potencjalnego zwabienia części użytkowników do fikcyjnych profili modelek.
Fałszywa strona internetowa wykazała cechy charakterystyczne dla ataków socjotechnicznych przeprowadzanych przez znane irańskie grupy. Co najważniejsze, specjaliści z Palo Alto Networks przestrzegają, że może ona zawierać link do Agent Serpens. Grupa ta znana jest z prowadzenia kampanii szpiegowskich przeciwko irańskim dysydentom, dziennikarzom i aktywistom, zwłaszcza tym mieszkającym za granicą, m.in. w Niemczech[1].
„Nie zaobserwowaliśmy jeszcze bezpośredniej interakcji z ofiarami, które trafiły na fałszywą witrynę. Ten atak dowodzi jednak, że cyberprzestępcy stosują niemal nieograniczony wachlarz metod socjotechnicznych do realizowania własnych celów. Choć najczęstszym motywem działań zorganizowanych grup cyberprzestępców są pieniądze, to coraz ważniejszym argumentem stojącym za atakami jest sytuacja geopolityczna. W tym przypadku osoby i organizacje, zwłaszcza te związane z irańskimi społecznościami aktywistów, powinny zachować ostrożność wobec prób kontaktu ze strony nieznajomych osób. Przypadek niemiecki powinien zwiększyć czujność także polskich służb, ponieważ grupy cyberprzestępcze, również te powiązane z wywiadami wrogich państw, działają pod każdą szerokością geograficzną. Jednym z kluczowych celów jest rodzimy sektor publiczny i infrastruktura krytyczna” – mówi Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający w Palo Alto Networks w Europie Środkowo-Wschodniej.
Na fikcyjnym profilu modelki atakujący zamieścili również link do jej prywatnego albumu – adres w tej chwili nie działa. Specjaliści z Unit 42 uważają jednak, że jest to prawdopodobnie miejsce powstałe z myślą o ukierunkowanych atakach socjotechnicznych. Potencjalnie fikcyjny album może posłużyć jako mechanizm do zbierania danych uwierzytelniających lub rozprzestrzeniania złośliwego oprogramowania. Ta funkcjonalność w połączeniu z potencjałem do dalszego rozwoju złośliwego oprogramowania wskazuje, że kampania może być groźna nie tylko teraz, ale również w przyszłości. Operacja ta świadczy o eskalacji podejrzanej działalności irańskiego cyberwywiadu.
[1] Advisory on cyber espionage against critics of the Iranian regime in Germany