Трудоустроим ветеранов. Как Иран вербует американских военных

Журналист журнала Wired Энди Гринберг в своей статье пишет о том, как Facebook удалось разоблачить масштабную хакерскую кампанию Ирана, целью которой было получение доступа к персональным данным американских и европейских военных.

Если вы американский военный, месяцами получавший приветливые сообщения в Facebook от рекрутеров, представляющих частный сектор, которые обещали отличное будущее в компаниях—подрядчиках в аэрокосмической и оборонной отраслях, то у Facebook для вас плохие новости.

В четверг гигант социальных сетей сообщил, что отследил и, по крайней мере, отчасти остановил продолжительную иранскую хакерскую кампанию, в рамках которой учетные записи Facebook использовались, чтобы выдавать себя за рекрутеров, которые опутывали жертв в США вполне эффективными сетями социальной инженерии, а затем отправляли им файлы с вредоносным ПО, открывавшим доступ к конфиденциальным учетным данным. Facebook сообщает, что хакеры также делали вид, что работают в медицинской сфере, журналистике, в неправительственных организациях или авиакомпаниях, иногда месяцами общаясь со своими целями через различные профили в соцсети. И, в отличие от ряда предыдущих случаев такой охоты Ирана в соцсетях на соседей, эта кампания, по всей видимости, была направлена прежде всего на американцев и — в меньшей степени — на жителей Великобритании и Европы.

В Facebook заявили, что удалили "по меньшей мере 200" фейковых эккаунтов по итогам внутреннего расследования и уведомил примерно такое же количество пользователей Facebook о том, что хакеры ими интересуются. "Наше расследование показало, что Facebook стал частью масштабной широкой шпионской операции, которая проводилась с применением фишинга, социальной инженерии, поддельных веб-сайтов и вредоносных доменов на нескольких платформах социальных сетей, по электронной почте и прочих сайтах", — сообщил журналистам директор по угрозам Facebook Дэвид Агранович.

Facebook идентифицировал хакеров, стоящих за кампанией социальной инженерии, как группировку Tortoiseshell, которая, по некоторым данным, работает на иранское правительство. Группировка, схожая с другими более известными иранскими группировками APT34 (Helix Kitten) и APT35 (Charming Kitten), появилась в 2019 г. Тогда компания Symantec обратила внимание на хакеров, атаковавших Саудовскую Аравию. Арабские IТ-провайдеры тогда подверглись кибенападению, целью которого было заражение клиентов вредоносным софтом Syskit. Facebook обнаружил то же вредоносное ПО в ходе последней хакерской кампании, но уже с большим количеством инструментов заражения целей в США и других западных странах, но не на Ближнем Востоке.

В компании Mandiant, специализирующейся на кибербезопасности, отметили, что Tortoiseshell предпочла атаке социальную инженерию, закинув удочку в соцсети еще в 2018 г. "Действовали они не только в Facebook, — говорит вице-президент Mandiant Джон Халтквист. — Начиная с самых ранних операций, они компенсируют действительно простые технические методы действительно сложными схемами для социальных сетей, что является той сферой, в которой Иран действительно хорош".

В 2019 г. подразделение специалистов по вопросам безопасности Cisco Talos нашло у Tortoiseshell фальшивый сайт для ветеранов под названием Hire Military Heroes, предназначенный для того, чтобы обманом заставить ее жертв установить на свой компьютер приложение с вредоносным ПО. Крейг Уильямс, глава группы специалистов Talos, сообщил, что и фейковый сайт, и масштабная кампания в Facebook, являются иллюстрацией того, как военнослужащие, пытающиеся найти работу в частном секторе, стали отличной мишенью для шпионов. "Проблема в том, что ветераны, которые уходят в мир коммерции, — это серьезная индустрия, — говорит Уильямс. — Плохие парни могут найти людей, которые могут ошибиться и которых могут привлечь такого плана предложения".

Facebook предупредил о том, что группировка даже сделала фейковый сайт Министерства труда США. И компания также предоставила список фейковых доменов группировки, которые выдавали себя за сайты новостных СМИ, версии YouTube и LiveLeak, а также множество различных URL-адресов, связанных с семьей Трампа и его организацией.

Facebook связывает полученный код вредоносного софта группировки с конкретным IT-подрядчиком из Тегерана Махаком Райаном Афразом, который в свое время снабжал таким ПО Корпус стражей исламской революции (КСИР). Это первое доказательство того, что Tortoiseshell связана правительством. Еще в 2019 г. Symantec отметила, что группировка также использовала некоторые инструменты, также применявшиеся иранской APT34, которая многие годы использовала такие ловушки в соцсетях — Facebook и LinkedIn. По словам Халтквиста, он видит сходство и с иранской группировкой APT35, которая, как полагают, работает на КСИР. APT35 использовала американского перебежчика Монику Витт для получения информации о ее бывших коллегах, в отношении которых можно было бы применить социальную инженерию и фишинговые кампании.

Угроза от хакерских операций Ирана может казаться не столь значительной в результате отказа администрации Байдена от конфронтационного курса администрации Трампа. Убийство иранского военного лидера Касема Сулеймани в 2020 г., в частности, привело к резкому росту иранских атак, которые, как многие полагали, должны были стать поводом для ответных кибератак, которые так и не были проведены. Напротив, президент Байден дал понять, что надеется вернуться к сделке времен Обамы, заморозившей на время ядерные амбиции Ирана и ослабившей напряженность в отношениях с этой страной. Это сближение омрачили сообщения о том, что агенты иранской разведки планировали похитить иранско-американского журналиста.