ИБ-компания Mandiant — компания, специализирующаяся на информационной безопасности, цифровой криминалистике и реагированием на инциденты.
» data-html=»true» data-original-title=»Mandiant»>Mandiant обнаружила
новую группировку APT42, которая, по мнению экспертов, является кибершпионским подразделением Корпуса стражей исламской революции (КСИР).
APT42 отдает предпочтение целевому фишингу против корпоративных и личных учетных записей электронной почты. С 2015 года группа использовала фишинговые кампании для сбора учетных данных и установки шпионских программ на Android-смартфоны, которые они затем используют для отслеживания местонахождения, мониторинга связи и другого наблюдения за действиями тех, кто считается угрозой для иранского правительства.
В своих атаках хакеры выдавали себя за журналистов или исследователей и привлекали жертв в течение нескольких дней или недель, прежде чем отправить вредоносную ссылку.
Согласно исследованию Mandiant, жертвами APT42 являются как минимум 14 стран, в том числе США, Австралия, страны Европы и Ближнего Востока, и среди них правительственные чиновники, бывшие иранские политики, члены иранской диаспоры и оппозиционных групп, журналисты и ученые.
С 2015 года группа провела более 30 целевых кампаний, связанных со сбором учетных данных, слежкой и развертыванием вредоносных программ.
Например, в 2020 году, в разгар пандемии COVID-19, группа пыталась украсть учетные данные личной электронной почты у высокопоставленных лиц в фармацевтической промышленности США, выдав себя за вакцинолога из Оксфордского университета.
В своем исследовании Mandiant отмечает, что деятельность APT42 соответствует группировке ITG18
(также известна как TA453 , Phosphorus, Charming Kitten).
Кроме того, перед президентскими выборами в США в 2020 году Microsoft обнаружила кибератаки , которые она приписала Phosphorus, нацеленные на личные аккаунты электронной почты людей, связанных с кампанией бывшего президента Дональда Трампа. Поэтому Халтквист призвал следить за APT42. По его словам, группировка проводит разведку, связанную с выборами в США, в интересах иранского правительства.
В заключении Халтквист сказал, что в кибербезопасности мало таких угроз, которые можно сравнить с КСИР, поскольку Корпус читает сообщения и электронные письма, записывает звонки и отслеживает местонахождение устройства.