Вроманах Джона ле Карре охотники за шпионами бродят по улицам европейских городов времён Холодной войны, выявляя тайники и собирая информацию, которая может привести их к двойным агентам. В современном мире страны всё чаще используют социальные сети и интернет для ведения контрразведывательной деятельности и выявления потенциальных шпионов.
Согласно новому исследованию Mandiant и Google Cloud, была замечена иранская хакерская группа, которая использовала замаскированные аккаунты в социальных сетях для распространения и распространения поддельных сайтов по трудоустройству, предложений о трудоустройстве и другого контента-приманки среди ничего не подозревающих жертв.
Контент публиковался на таких платформах, как X и Virasty (иранская альтернатива Twitter/X), и люди, выдававшие себя за израильских рекрутеров или сотрудников отделов кадров, направляли пользователей на сайты по поиску работы на фарси, официальном языке Ирана. Переходивших по ссылке просили предоставить личные данные, такие как имя, дата рождения и домашний адрес, а также информацию о профессиональном или академическом образовании. Эта информация незамедлительно передавалась злоумышленникам.
Операция, впервые замеченная в 2017 году и в последний раз активная в марте 2024 года, по-видимому, в первую очередь направлена на помощь иранскому правительству в выявлении иранцев, потенциально сотрудничающих с иностранными противниками, включая Израиль.
«Данные, собранные в ходе этой кампании, могут помочь иранской разведке выявить лиц, заинтересованных в сотрудничестве со странами, которые считаются противниками Ирана», — пишут авторы Офир Розманн, Асли Коксал и Сара Бок. «Собранные данные могут быть использованы для раскрытия операций агентурной разведки, проводимых против Ирана, и преследования любых иранцев, подозреваемых в участии в этих операциях».
Пост пользователя социальных сетей @A_Soleimani_Far, рекламирующий приманку социальной инженерии, замаскированную под сайт по трудоустройству на Virasity. [Источник: Mandiant]
Персона социальных сетей @MiladAzadihr ссылается на фейковый сайт по трудоустройству на израильскую тематику в Twitter/X. [Источник: Mandiant]
Поддельные сайты по набору персонала специально рекламировали потребность в лицах с образованием или опытом в сфере ИТ и кибербезопасности, а также в «сотрудниках и офицерах служб разведки и безопасности Ирана», предлагая при этом «отличную» оплату и обещая защитить конфиденциальность человека.
Бен Рид, руководитель отдела анализа кибершпионажа компании Mandiant, рассказал CyberScoop, что, хотя компания, занимающаяся разведкой угроз, не располагает конкретными данными о количестве пострадавших лиц, семилетняя продолжительность операции указывает на то, что «они, по-видимому, добились определенного успеха».
Версии сайта по подбору персонала beparas[.]com для настольных компьютеров и мобильных устройств использовались в феврале 2024 г. [Источник: Mandiant]
Компания Mandiant с высокой степенью уверенности оценила, что операция была проведена по указанию иранского правительства, а исследователи отметили «слабое совпадение» с деятельностью, связанной с APT42 — группой, которую официальные лица США обвиняют в нападках и фишинговых атаках на президентские кампании Трампа и Харрис.
Однако, по словам Рида, эта операция, по всей видимости, отличается от других операций APT42. Хотя у неё, возможно, есть общая подготовка или руководство с группой APT, она использует отдельную IT-инфраструктуру, что позволяет Mandiant полагать, что это отдельная организация. Эта деятельность также не связана с выборами в США и сосредоточена исключительно на сборе контрразведывательной информации о внутренних деятелях и фарсиязычных диссидентах, проживающих за рубежом.
Внимание Тегерана к выявлению израильских коллаборационистов обусловлено десятилетними успехами израильской разведки на иранских и соседних территориях . В их числе — серия убийств руководителей Ирана, Корпуса стражей исламской революции и учёных-атомщиков , а также кража документов ядерной программы «Моссадом» в 2018 году .
Совсем недавно лидер ХАМАС Исмаил Хания был убит в результате ракетного удара в Тегеране после того, как присутствовал на церемонии приведения к присяге президента Ирана Масуда Пезешкиана. Премьер-министр Израиля Биньямин Нетаньяху публично не признал и не опроверг причастность Израиля к этому инциденту.
«Израильская разведка явно очень активна там и оказывает влияние, — сказал Рид, — поэтому было бы логично, если бы Иран воспользовался этим, чтобы ослабить ситуацию, и попытался бы найти лиц, которые либо связываются, либо могут связываться с израильтянами, и постарался бы в первую очередь установить их личности».
Согласно новому исследованию Mandiant и Google Cloud, была замечена иранская хакерская группа, которая использовала замаскированные аккаунты в социальных сетях для распространения и распространения поддельных сайтов по трудоустройству, предложений о трудоустройстве и другого контента-приманки среди ничего не подозревающих жертв.
Контент публиковался на таких платформах, как X и Virasty (иранская альтернатива Twitter/X), и люди, выдававшие себя за израильских рекрутеров или сотрудников отделов кадров, направляли пользователей на сайты по поиску работы на фарси, официальном языке Ирана. Переходивших по ссылке просили предоставить личные данные, такие как имя, дата рождения и домашний адрес, а также информацию о профессиональном или академическом образовании. Эта информация незамедлительно передавалась злоумышленникам.
Операция, впервые замеченная в 2017 году и в последний раз активная в марте 2024 года, по-видимому, в первую очередь направлена на помощь иранскому правительству в выявлении иранцев, потенциально сотрудничающих с иностранными противниками, включая Израиль.
«Данные, собранные в ходе этой кампании, могут помочь иранской разведке выявить лиц, заинтересованных в сотрудничестве со странами, которые считаются противниками Ирана», — пишут авторы Офир Розманн, Асли Коксал и Сара Бок. «Собранные данные могут быть использованы для раскрытия операций агентурной разведки, проводимых против Ирана, и преследования любых иранцев, подозреваемых в участии в этих операциях».
Пост пользователя социальных сетей @A_Soleimani_Far, рекламирующий приманку социальной инженерии, замаскированную под сайт по трудоустройству на Virasity. [Источник: Mandiant]
Персона социальных сетей @MiladAzadihr ссылается на фейковый сайт по трудоустройству на израильскую тематику в Twitter/X. [Источник: Mandiant]
Поддельные сайты по набору персонала специально рекламировали потребность в лицах с образованием или опытом в сфере ИТ и кибербезопасности, а также в «сотрудниках и офицерах служб разведки и безопасности Ирана», предлагая при этом «отличную» оплату и обещая защитить конфиденциальность человека.
Бен Рид, руководитель отдела анализа кибершпионажа компании Mandiant, рассказал CyberScoop, что, хотя компания, занимающаяся разведкой угроз, не располагает конкретными данными о количестве пострадавших лиц, семилетняя продолжительность операции указывает на то, что «они, по-видимому, добились определенного успеха».
Версии сайта по подбору персонала beparas[.]com для настольных компьютеров и мобильных устройств использовались в феврале 2024 г. [Источник: Mandiant]
Компания Mandiant с высокой степенью уверенности оценила, что операция была проведена по указанию иранского правительства, а исследователи отметили «слабое совпадение» с деятельностью, связанной с APT42 — группой, которую официальные лица США обвиняют в нападках и фишинговых атаках на президентские кампании Трампа и Харрис.
Однако, по словам Рида, эта операция, по всей видимости, отличается от других операций APT42. Хотя у неё, возможно, есть общая подготовка или руководство с группой APT, она использует отдельную IT-инфраструктуру, что позволяет Mandiant полагать, что это отдельная организация. Эта деятельность также не связана с выборами в США и сосредоточена исключительно на сборе контрразведывательной информации о внутренних деятелях и фарсиязычных диссидентах, проживающих за рубежом.
Внимание Тегерана к выявлению израильских коллаборационистов обусловлено десятилетними успехами израильской разведки на иранских и соседних территориях . В их числе — серия убийств руководителей Ирана, Корпуса стражей исламской революции и учёных-атомщиков , а также кража документов ядерной программы «Моссадом» в 2018 году .
Совсем недавно лидер ХАМАС Исмаил Хания был убит в результате ракетного удара в Тегеране после того, как присутствовал на церемонии приведения к присяге президента Ирана Масуда Пезешкиана. Премьер-министр Израиля Биньямин Нетаньяху публично не признал и не опроверг причастность Израиля к этому инциденту.
«Израильская разведка явно очень активна там и оказывает влияние, — сказал Рид, — поэтому было бы логично, если бы Иран воспользовался этим, чтобы ослабить ситуацию, и попытался бы найти лиц, которые либо связываются, либо могут связываться с израильтянами, и постарался бы в первую очередь установить их личности».
