Google hat in diesem Jahr vor einem Anstieg der Aktivitäten von staatlich unterstützten Hackern gewarnt, darunter Angriffe einer iranischen Gruppe, deren Ziel eine britische Universität war.
Die Suchgruppe sagte, dass sie im Jahr 2021 bisher mehr als 50.000 Warnungen an Kontoinhaber gesendet habe, dass sie Ziel von staatlich unterstützten Phishing- oder Malware-Versuchen gewesen seien. Dies entspricht einem Anstieg von einem Drittel gegenüber dem gleichen Zeitraum des Vorjahres, sagte Google in a Blogeintrag, wobei der Anstieg einer „ungewöhnlich großen Kampagne“ einer russischen Hackergruppe namens APT28 oder Fancy Bear zugeschrieben wird.
Der Google-Beitrag konzentrierte sich jedoch auf eine mit den iranischen Revolutionsgarden verbundene Gruppe, bekannt als APT35 oder Charming Kitten, die regelmäßig Phishing-Angriffe durchführt – bei denen beispielsweise eine E-Mail verwendet wird, um jemanden zur Weitergabe vertraulicher Informationen zu verleiten oder Malware zu installieren .
„Dies ist eine der Gruppen, die wir während des US-Wahlzyklus 2020 unterbrochen für die gezielte Ansprache von Kampagnenmitarbeitern“, schrieb Ajax Bash von der Bedrohungsanalysegruppe von Google. „Seit Jahren hat diese Gruppe Konten gekapert, Malware eingesetzt und neuartige Techniken verwendet, um Spionage im Einklang mit den Interessen der iranischen Regierung durchzuführen.“
Bei einem Angriff Anfang 2021 griff APT35 eine Website einer britischen Universität mit einer bewährten Technik an: Benutzer wurden auf eine kompromittierte Webseite geleitet, auf der sie aufgefordert wurden, sich über ihren E-Mail-Dienstanbieter anzumelden – zum Beispiel Gmail, Hotmail oder Yahoo – um ein Webinar anzusehen. Die Benutzer wurden auch nach Zweitfaktor-Authentifizierungscodes gefragt, die direkt zu APT35 gehen.
Google hat die britische Universität nicht genannt, aber im Juli es wurde gemeldet dass die School of Oriental and African Studies (Soas), University of London, Anfang 2021 von APT35 ins Visier genommen wurde. Der Angriff begann mit einer gefälschten E-Mail eines Soas-Akademikers, die Leute zu einem Webinar einlud und eine Kette von Interaktionen startete, die zu eine Dummy-Seite auf der Radio-Website der Universität, die die Phishing-Opfer dazu verleitete, ihre E-Mail-Benutzernamen und Passwörter herauszugeben. Soas sagte im Juli, der Angriff habe nicht auf persönliche Informationen oder Daten zugegriffen.
„Als wir Anfang des Jahres auf die Dummy-Site aufmerksam wurden, haben wir sofort Abhilfe geschaffen und den Verstoß auf normale Weise gemeldet. Wir haben überprüft, wie dies geschah, und Schritte unternommen, um den Schutz dieser … Peripheriesysteme weiter zu verbessern“, sagte Soas.
In Bezug auf den Angriff auf die britische Universität sagte Bash: „APT35 verlässt sich seit 2017 auf diese Technik – und zielt auf hochwertige Konten in Regierung, Wissenschaft, Journalismus, NGOs, Außenpolitik und nationaler Sicherheit ab. Das Phishing von Anmeldeinformationen über eine kompromittierte Website zeigt, dass diese Angreifer große Anstrengungen unternehmen, um als legitim zu erscheinen – da sie wissen, dass es für Benutzer schwierig ist, diese Art von Angriff zu erkennen.“
Der Blogpost beschreibt weitere Angriffsformen von APT35. Dazu gehören: der Versuch, Spyware in den Google Play Store hochzuladen, wo Android-Telefonbenutzer Apps kaufen können; sich als Konferenzbeamte auszugeben, um Phishing-Angriffe durchzuführen; und die Verwendung eines Bots des Telegram-Messaging-Dienstes, um zu benachrichtigen, wenn Benutzer eine Phishing-Site betreten haben, obwohl Google sagte, Telegram habe diesen Trick inzwischen angegangen.