Ракетный котенок

Rocket Kitten или Rocket Kitten Group — это хакерская группа, предположительно связанная с иранским правительством. ^[1] Группа субъектов угроз нацелилась на организации и частных лиц на Ближнем Востоке, в частности в Израиле, Саудовской Аравии, Иране, а также в США и Европе.

Происхождение

Фирма по кибербезопасности FireEye сначала идентифицировала группу как Ajax Security Team . ^[2] пишет, что группа, судя по всему, была сформирована в 2010 году хакерами под псевдонимами «Cair3x» и «HUrr!c4nE!». К 2012 году группа субъектов угроз сосредоточила свое внимание на политических оппонентах Ирана. ^[3] Их целевые атаки, получившие название «Ракетный котенок», известны с середины 2014 года. ^[4] К 2013 или 2014 году Rocket Kitten переключила свое внимание на кибершпионаж с использованием вредоносных программ. ^[3]

Охранная фирма Check Point описывает Rocket Kitten как «группу злоумышленников иранского происхождения». ^[1]

В коде Rocket Kitten используются ссылки на персидский язык . Цели группы связаны с обороной, дипломатией, международными делами, безопасностью, политическими исследованиями, правами человека и журналистикой. По данным Check Point, группа атаковала иранских диссидентов, саудовскую королевскую семью , израильских ученых-ядерщиков и чиновников НАТО . Исследователи безопасности обнаружили, что они провели «общую схему целенаправленных фишинговых кампаний, отражающую интересы и деятельность иранского аппарата безопасности». ^[4] Другие исследователи определили, что атаки Rocket Kitten имеют сходство с атаками, приписываемыми Корпусу стражей исламской революции . ^[4] Сотрудники разведки Ближнего Востока и Европы связали Rocket Kitten с иранским военным ведомством. ^[2] Rocket Kitten отдает предпочтение трояну удаленного доступа , ^[5] а к 2015 году исследователи обнаружили, что он использует специально разработанное вредоносное ПО. ^[2]

История

Операция «Шафрановая роза»

Фирма по кибербезопасности FireEye в 2013 году опубликовала отчет, в котором говорится, что Rocket Kitten провела несколько операций кибершпионажа против базовых оборонно-промышленных компаний США. В докладе также подробно описывается преследование иранских граждан, которые используют инструменты антицензуры для обхода иранских интернет-фильтров. ^[3]

Операция «Шерстяная золотая рыбка»

Trend Micro описала кампанию Operation Woolen-Goldfish в мартовском документе 2015 года. Кампания включала улучшенный фишинговый контент. ^[1]

Игра

В ноябре 2015 года ошибки безопасности, допущенные Rocket Kitten, позволили фирме Check Point получить root-доступ без пароля к серверной базе данных хакеров «Оюн». Они обнаружили приложение, способное создавать персонализированные фишинговые страницы и содержащее список из более чем 1842 отдельных целей. ^[2]^[6] Среди целей целевого фишинга Rocket Kitten с июня 2014 по июнь 2015 года 18% были из Саудовской Аравии, 17% — из США, 16% — из Ирана, 8% — из Нидерландов и 5% — из Израиля. ^[2] Аналитики использовали учетные данные для доступа к ключевым журналам жертв группы и обнаружили, что Rocket Kitten, по-видимому, протестировали свое вредоносное ПО на своих рабочих станциях и не смогли стереть журналы из файлов данных. ^[6] Check Point определила человека по имени Ясер Балаги, известного под ником Wool3n.H4t, как руководителя операции. ^[5]

Телеграм взлом

В августе 2016 года исследователи установили, что Rocket Kitten стоит за взломом Telegram , облачной службы обмена мгновенными сообщениями. Хакеры воспользовались тем, что Telegram использует SMS-верификацию, используя более десятка учетных записей и похитив идентификаторы пользователей и номера телефонов 15 миллионов иранцев, использующих это программное обеспечение. Среди жертв были оппозиционные организации и политические активисты-реформаторы. ^[4]

Ссылки

^ Перейти обратно: ^а ^б ^с «Котенок-ракета: кампания с 9 жизнями» (PDF) . Чекпойнт. 2015.
^ Перейти обратно: ^а ^б ^с ^д ^и Джонс, Сэм (26 апреля 2016 г.). «Кибервойна: Иран открывает новый фронт» . Файнэншл Таймс .
^ Перейти обратно: ^а ^б ^с «Операция Шафрановая роза» (PDF) . Огненный Глаз. 2013 . Проверено 26 декабря 2016 г.
^ Перейти обратно: ^а ^б ^с ^д Менн, Джозеф; Торбати, Йегане (2 августа 2016 г.). «Эксклюзив: Хакеры получили доступ к аккаунтам обмена сообщениями Telegram в Иране – исследователи» . Рейтер .
^ Перейти обратно: ^а ^б Карман, Эшли (9 ноября 2015 г.). «Предполагаемый вдохновитель APT «Ракетного котенка» указан в исследовательской работе» . Журнал SC США .
^ Перейти обратно: ^а ^б Манкастер, Фил (10 ноября 2015 г.). «Ошибки оперативной безопасности разоблачают вдохновителей ракетных котят» . Журнал Инфобезопасность .

Внешние ссылки

Котята-шпионы вернулись: Rocket Kitten 2 , Trend Micro.

[CP-1] Перейти обратно: ^а ^б ^с «Котенок-ракета: кампания с 9 жизнями» (PDF) . Чекпойнт. 2015.

[FT-2] Перейти обратно: ^а ^б ^с ^д ^и Джонс, Сэм (26 апреля 2016 г.). «Кибервойна: Иран открывает новый фронт» . Файнэншл Таймс .

[FireEye-3] Перейти обратно: ^а ^б ^с «Операция Шафрановая роза» (PDF) . Огненный Глаз. 2013 . Проверено 26 декабря 2016 г.

[Reuters-4] Перейти обратно: ^а ^б ^с ^д Менн, Джозеф; Торбати, Йегане (2 августа 2016 г.). «Эксклюзив: Хакеры получили доступ к аккаунтам обмена сообщениями Telegram в Иране – исследователи» . Рейтер .

[SC-5] Перейти обратно: ^а ^б Карман, Эшли (9 ноября 2015 г.). «Предполагаемый вдохновитель APT «Ракетного котенка» указан в исследовательской работе» . Журнал SC США .

[Infosec-6] Перейти обратно: ^а ^б Манкастер, Фил (10 ноября 2015 г.). «Ошибки оперативной безопасности разоблачают вдохновителей ракетных котят» . Журнал Инфобезопасность .

[1]

[2]

[3]

[4]

[5]

[6]