据人权观察组织称,在持续的社会工程和凭证网络钓鱼活动中,伊朗政府支持的黑客针对在中东工作的人权活动家、记者、外交官和政治家。
在周一发表的一份分析报告中,人权观察表示,它已将间谍活动归咎于 APT42,这是一个伊朗支持的黑客组织,于 9 月首次被网络安全公司 Mandiant 发现。 Mandiant 表示,APT42(也称为TA453 、Phosphorus 和 Charming Kitten)支持伊朗伊斯兰革命卫队的情报收集工作,自 2015 年以来已针对全球各种非营利、教育和政府目标发起了 30 多次经确认的行动。
人权观察表示,在其一名员工在WhatsApp上收到假装为黎巴嫩智库工作的人发来的可疑信息后,它首先意识到 APT42 的最新间谍活动。倡导组织发现,消息中包含的一个链接将目标指向一个虚假的登录页面,该页面捕获了他们的电子邮件密码和多因素身份验证代码。
在与国际特赦组织安全实验室一起进行的分析中,人权观察确定了另外 18 名受害者,他们是同一运动的一部分,其中 15 名目标确认他们在 9 月 15 日至 11 月 25 日期间收到了相同的 WhatsApp 消息。 11 月 23 日,第二名人权观察工作人员收到了来自同一号码的相同 WhatsApp 消息,该消息与其他目标联系。
对于已知账户被盗的三个人——美国一家主要报纸的记者、驻海湾地区的妇女权利捍卫者和驻黎巴嫩的难民国际倡导顾问——攻击者获得了电子邮件、云存储的访问权限驱动器、联系人和日历。至少在一个案例中,攻击者还执行了Google Takeout ,这是一项导出帐户所有活动和信息的服务,包括网络搜索、支付、旅行和位置、点击的广告、YouTube 活动以及其他帐户信息。
“伊朗国家支持的黑客正在积极使用复杂的社会工程和凭证收集策略来访问中东研究人员和民间社会团体持有的敏感信息和联系人,”人权观察信息安全主管阿比尔加塔斯说。 “这大大增加了记者和人权捍卫者在伊朗和该地区其他地方面临的风险。”
鉴于其调查,人权观察在发现谷歌的安全保护“不足”之后,呼吁谷歌加强其 Gmail 帐户的安全警告,以更好地保护其最危险的用户,包括记者和人权捍卫者。
“成功成为网络钓鱼攻击目标的个人告诉人权观察,他们没有意识到自己的 Gmail 账户已被泄露或谷歌外卖已启动,部分原因是谷歌账户活动下的安全警告不会推送或显示任何永久通知用户的收件箱或向他们手机上的 Gmail 应用程序发送推送消息,”人权观察在其分析中说。
“谷歌的安全活动表明,攻击者在入侵后几乎立即访问了目标账户,他们一直保持对账户的访问权限,直到人权观察和国际特赦组织的研究团队通知他们并协助他们移除攻击者的连接设备。”
谷歌发言人 Kimberly Samra 告诉 TechCrunch,谷歌对高风险用户实施保护,因此他们的谷歌账户“受到保护,免受针对谷歌服务或本案中其他平台的威胁”。
“其中一些保护措施包括我们的高级保护计划 (APP) 和两步验证 (2SV) 自动注册,”萨姆拉说。 “谷歌还继续致力于威胁协作并分享我们正在进行的研究,以提高整个行业对不良行为者的认识,因为它有助于更快地响应攻击并保护在线用户。”
伊朗支持的黑客与针对记者和活动家的间谍活动有关 最初发表在TechCrunch上的Carly Page
原文: https://techcrunch.com/2022/12/06/iran-hackers-espionage-campaign-journalists-activists/