Die Cybersecurity-Experten von Proofpoint haben eine Untersuchung zu der vom Iran gelenkten Hackergruppe TA453, auch bekannt als Charming Kitten, PHOSPHORUS und APT42, veröffentlicht.
Demnach hat es die Gruppe seit Neuestem auf Zielpersonen abgesehen, die sich auf Themen rund um den Nahen Osten, nukleare Sicherheit und Genforschung spezialisiert haben. Bei jedem ihrer zuletzt beobachteten Angriffe via E-Mails wurden mehrere gefälschte Identitäten verwendet. Hierzu nutzte TA453 Identitäten von echten Personen, die in westlichen Forschungseinrichtungen im Bereich Außenpolitik tätig sind. Bei den Angriffen kommen zudem neue Social-Engineering-Taktiken zum Einsatz, um im Auftrag der Islamischen Revolutionsgarden des Iran Informationen zu erbeuten.
Wichtigste Erkenntnissen der Untersuchung
Bei den Kampagnen von TA453 konnte beobachtet werden, wie sich die Gruppe bei ihren Spear-Phishing-Angriffen mehrerer Identitäten bediente, um sich das psychologische Prinzip des sogenannten Social Proof zunutze zu machen. Hierdurch soll insbesondere die vermeintliche Authentizität der Korrespondenz gesteigert werden.
Die von TA453 missbrauchten Identitäten umfassen echte Personen, die beim PEW Research Center, dem Foreign Policy Research Institute (FRPI), dem britischen Chatham House und der Wissenschaftszeitschrift Nature tätig sind. Mittels dieser Vorgehensweise wurden Personen attackiert, die über Informationen bezüglich dem Staat Israel, den Golfstaaten, der Abraham Accords Declaration sowie bezüglich der Nuklearwaffenkontrolle im Zusammenhang mit einem möglichen Konflikt zwischen den USA und Russland verfügen. Die Security-Experten von Proofpoint gehen davon aus, dass TA453 zur Unterstützung der Islamischen Revolutionsgarden (IRGC) operiert, wobei diese Cyberspionage-Kampagnen darauf abzielen, sensible Daten und Informationen zu stehlen.
Kommentar von Proofpoint
„Staatlich geförderte Hackergruppen gehören zu den Besten, wenn es darum geht, gut durchdachte Social-Engineering-Kampagnen zu entwerfen, um Opfer in die Falle zu locken. In diesem Fall haben unsere Spezialisten festgestellt, dass die mit dem Iran verbündete Gruppe TA453 seine Aktivitäten durch den Einsatz gleich mehrerer gefälschter Identitäten ausgeweitet hat – die Gruppe nutzt hierbei Social Proof, um die Zielperson von der Echtheit der Anfrage zu überzeugen. Dabei handelt es sich um eine faszinierende Technik, da sie pro Zielperson größere Ressourcen – unter Umständen werden dabei mehrere Identitäten ‚verbrannt‘ – und einen koordinierten Ansatz zwischen den verschiedenen Identitäten erfordert, die von TA453 eingesetzt werden.“
„Forscher, die im Bereich der internationalen Beziehungen tätig sind, insbesondere solche, die sich auf Studien über den Nahen Osten oder nukleare Sicherheit spezialisiert haben, sollten ein erhöhtes Maß an Aufmerksamkeit walten lassen, wenn sie unaufgeforderte E-Mails erhalten. So sollten Experten, die von Journalisten kontaktiert werden, die Website der Publikation überprüfen, um festzustellen, ob die E-Mail-Adresse zu einem tatsächlichen Reporter gehört.“ So Sherrod DeGrippo, VP of Threat Research and Detection bei Proofpoint.
Mehr bei ProofPoint.com
Über Proofpoint Proofpoint, Inc. ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren.