Gli esperti di sicurezza informatica di Proofpoint hanno pubblicato un'indagine sul gruppo di hacker diretto dall'Iran TA453, noto anche come Charming Kitten, PHOSPHORUS e APT42.
Il gruppo ha recentemente iniziato a prendere di mira persone specializzate in questioni relative al Medio Oriente, sicurezza nucleare e ricerca genetica. Ciascuno dei loro attacchi e-mail osservati più di recente utilizzava più identità false. Per fare ciò, TA453 ha utilizzato le identità di persone reali che lavorano negli istituti di ricerca di politica estera occidentali. Gli attacchi utilizzano anche nuove tattiche di ingegneria sociale per raccogliere informazioni per conto del Corpo delle guardie rivoluzionarie islamiche iraniane.
Principali risultati dell'inchiesta
Le campagne di TA453 hanno visto il gruppo utilizzare più identità nei propri attacchi di spear phishing per sfruttare il principio psicologico della riprova sociale. Ciò dovrebbe in particolare aumentare la presunta autenticità della corrispondenza.
Le identità compromesse da TA453 includono persone reali che lavorano presso il PEW Research Center, il Foreign Policy Research Institute (FRPI), la Chatham House del Regno Unito e la rivista scientifica Nature. Questa tattica è stata utilizzata per attaccare le persone con informazioni riguardanti lo Stato di Israele, gli Stati del Golfo, la Dichiarazione degli Accordi di Abramo e il controllo delle armi nucleari in connessione con un possibile conflitto tra Stati Uniti e Russia. Gli esperti di sicurezza di Proofpoint ritengono che TA453 stia operando a sostegno delle campagne di spionaggio informatico del Corpo delle guardie rivoluzionarie islamiche (IRGC) volte a rubare dati e informazioni sensibili.
Commento da Proofpoint
“I gruppi di hacker sponsorizzati dal governo sono tra i migliori nel creare campagne di ingegneria sociale ben congegnate per attirare le vittime in trappole. In questo caso, i nostri specialisti hanno scoperto che il gruppo affiliato all'Iran TA453 ha ampliato le sue attività utilizzando più identità false contemporaneamente: il gruppo utilizza prove sociali per convincere l'obiettivo dell'autenticità della richiesta. Questa è una tecnica intrigante in quanto richiede maggiori risorse per target - potenzialmente "bruciando" più identità - e un approccio coordinato tra le diverse identità schierate da TA453."
“I ricercatori che lavorano nel campo delle relazioni internazionali, in particolare quelli specializzati in Medio Oriente o studi sulla sicurezza nucleare, dovrebbero esercitare un maggiore livello di vigilanza quando ricevono e-mail indesiderate. Ad esempio, i professionisti contattati dai giornalisti dovrebbero controllare il sito Web della pubblicazione per determinare se l'indirizzo e-mail appartiene a un vero giornalista", ha affermato Sherrod DeGrippo, vicepresidente della ricerca e rilevamento delle minacce presso Proofpoint.
Altro su ProofPoint.com
A proposito di Proofpoint Proofpoint, Inc. è un'azienda leader nella sicurezza informatica. L'obiettivo di Proofpoint è la protezione dei dipendenti. Perché questi significano il capitale più grande per un'azienda, ma anche il rischio più grande. Con una suite integrata di soluzioni di sicurezza informatica basate su cloud, Proofpoint aiuta le organizzazioni di tutto il mondo a bloccare le minacce mirate, proteggere i propri dati e istruire gli utenti IT aziendali sui rischi degli attacchi informatici.