Очаровательный котенок

Очаровательный котенок
Модный мишка
Формирование	в. 2004–2007 гг. [1]
Тип	Расширенная постоянная угроза
Цель	Кибершпионаж , кибервойна
Область	Средний Восток
Методы	Нулевые дни , целевой фишинг , вредоносное ПО , социальная инженерия , водопой
Членство	минимум 5
Официальный язык	персидский
Головная организация	КСИР
Принадлежности	Ракетный котенок APT34 APT33
Ранее назывался	АПТ35 ; Турок в черной шляпе ; Команда безопасности Аякс ; Фосфор

Charming Kitten , также называемый APT35 (от Mandiant ), Phosphorus или Mint Sandstorm (от Microsoft ), ^[1] Ajax Security (от FireEye ), ^[2] и NewsBeef (от Касперского ^[3]^[4]), — иранская правительственная группа по кибервойне , которую несколько компаний и правительственных чиновников описывают как серьезную постоянную угрозу .

15 декабря 2017 года группа была признана FireEye передовой постоянной угрозой на уровне национального государства , несмотря на недостаток ее сложности. Исследование, проведенное FireEye в 2018 году, показало, что APT35 может расширять свои возможности вредоносного ПО и кампании по вторжению. ^[5]

С тех пор известно, что группа использовала фишинг , чтобы выдать себя за веб-сайты компаний. ^[6] а также поддельные учетные записи и поддельные домены DNS пользователей для фишинга паролей .

История

Бегство Витта (начало 2013 г.)

В 2013 году бывший технический сержант ВВС США и подрядчик военной разведки Моника Уитт перешла в Иран. ^[7] зная, что за это она может подвергнуться уголовному преследованию со стороны Соединенных Штатов. ^{[ нужна ссылка ]} Ее передача разведывательных данных правительству Ирана позже привела к операции «Шафрановая роза» — операции по кибервойне, направленной против военных подрядчиков США. ^{[ нужна ссылка ]}

Кибератака HBO (2017)

В 2017 году после кибератаки на канал HBO было начато масштабное совместное расследование. ^{[ кем? ]} на том основании, что произошла утечка конфиденциальной информации. В условном заявлении хакера под псевдонимом Сокуте Вахшат ( персидское سکوت وحشت , букв. «Молчание страха») говорилось, что, если деньги не будут выплачены, сценарии телевизионных эпизодов, включая эпизоды « Игры престолов» , будут утекли в сеть. Взлом привел к утечке 1,5 терабайт данных, часть из которых представляла собой шоу и эпизоды, которые на тот момент не транслировались. ^[8] HBO с тех пор заявил, что примет меры, чтобы гарантировать, что они не будут нарушены снова. ^[9]

Впоследствии Бехзаду Месри было предъявлено обвинение во взломе. С тех пор он предположительно был членом оперативного подразделения, которое допустило утечку конфиденциальной информации. ^[10]

По данным Certfa, «Очаровательный котенок» был нацелен на чиновников США, причастных к ядерной сделке с Ираном 2015 года . Правительство Ирана отрицает свою причастность. ^[11]^[12]

Второе обвинительное заключение (2019)

Большое федеральное жюри Окружного суда США по округу Колумбия предъявило Витту обвинение в шпионаже (в частности, в «сговоре с целью доставки и передачи информации о национальной обороне представителям иранского правительства»). Обвинительное заключение было обнародовано 19 февраля 2019 года. В том же обвинительном заключении четырем гражданам Ирана — Моджтабе Масумпуру, Бехзаду Месри, Хоссейну Парвару и Мохамаду Парьяру — были предъявлены обвинения в заговоре, попытке взлома компьютера и краже личных данных при отягчающих обстоятельствах в рамках предвыборной кампании. в 2014 и 2015 годах, которые пытались скомпрометировать данные бывших коллег Уитта. ^[13]

В марте 2019 года Microsoft взяла на себя ответственность за 99 DNS-доменов, принадлежащих хакерам, спонсируемым иранским правительством, с целью снизить риск целевого фишинга и других кибератак. ^[14]

Попытки вмешательства в выборы 2020 г. (2019 г.)

По данным Microsoft, за 30-дневный период с августа по сентябрь 2019 года Charming Kitten предпринял 2700 попыток получить информацию о целевых учетных записях электронной почты. ^[15] В результате произошла 241 атака и 4 взломанных аккаунта. Хотя считалось, что эта инициатива была направлена на президентскую кампанию в США, ни один из скомпрометированных аккаунтов не имел отношения к выборам.

Microsoft не раскрыла, кто конкретно стал объектом нападения, но в последующем отчете Reuters утверждалось, что это была кампания по переизбранию Дональда Трампа. ^[16] Это утверждение подтверждается тем фактом, что только предвыборный штаб Трампа использовал Microsoft Outlook в качестве почтового клиента.

Иран отрицал свою причастность к вмешательству в выборы, а министр иностранных дел Ирана Мохаммад Джавад Зариф заявил: «У нас нет предпочтения в ваших выборах [Соединенных Штатах] вмешиваться в эти выборы» и «Мы не вмешиваемся во внутренние дела Ирана». дела другой страны», в интервью каналу NBC «Meet The Press». ^[17]

Однако эксперты по кибербезопасности Microsoft и сторонних фирм, таких как ClearSky Cyber Security, утверждают, что за попыткой вмешательства стоял Иран, в частности Charming Kitten. В октябре 2019 года ClearSky опубликовала отчет, подтверждающий первоначальный вывод Microsoft. ^[18] В отчете подробности кибератаки сравниваются с предыдущими атаками, исходящими от Charming Kitten. Были обнаружены следующие сходства:

Похожие профили жертв. Преследуемые попали в схожие категории. Все они представляли интерес для Ирана в области науки, журналистики, правозащитной деятельности и политической оппозиции.
Перекрытие времени. Активность Verified Charming Kitten нарастала в тот же период, когда были предприняты попытки вмешательства в выборы.
Последовательные векторы атак. Методы атаки были схожими: злоумышленники использовали целевой фишинг с помощью SMS-сообщений.

2022 HYPERSCRAPE, инструмент извлечения данных APT (2021 г.)

23 августа 2022 года в блоге группы анализа угроз Google (TAG) был раскрыт новый инструмент, разработанный Charming Kitten для кражи данных у известных поставщиков электронной почты (например, Google, Yahoo! и Microsoft). ^[19] Этому инструменту необходимы учетные данные цели, чтобы создать сеанс от ее имени. Он действует таким образом, что использование почтовых служб старого образца выглядит для сервера обычным, загружает электронную почту жертвы и вносит некоторые изменения, чтобы скрыть свой отпечаток.

Согласно отчету, инструмент разработан на платформе Windows, но не для компьютера жертвы. Он использует как командную строку, так и графический интерфейс для ввода учетных данных или других необходимых ресурсов, таких как файлы cookie.

См. также

Ссылки

^ «Microsoft использует постановление суда для закрытия веб-сайтов APT35» . КиберСкуп . 27 марта 2019 г.
^ «Команда безопасности Ajax возглавляет хакерские группы в Иране» . Дела безопасности . 13 мая 2014 г.
^ «Бумага для заморозки вокруг бесплатного мяса» . Securelist.com . 27 апреля 2016 г.
^ Басс, Дина. «Microsoft берется за еще одну хакерскую группу, имеющую связи с Ираном» . news.bloomberglaw.com .
^ «ОТМЕНЕНО: сдерживание потенциально разрушительного противника» . Огненный Глаз .
^ «Иранская группа Charming Kitten ATP выдает себя за израильскую фирму по кибербезопасности в фишинговой кампании» . Дела безопасности . 3 июля 2018 г.
^ Блайндер, Алан; Туркевиц, Джули; Гольдман, Адам (16 февраля 2019 г.). «Изолированная и плывущая по течению американка обратилась к Ирану» . Нью-Йорк Таймс . ISSN 0362-4331 . Проверено 23 апреля 2022 г.
^ «Взлом HBO: что мы знаем (и чего не знаем) — Vox» . 5 августа 2017 г.
^ Пецки, Дениз (31 июля 2017 г.). «HBO подтверждает, что на него произошла кибератака» .
^ «Хакер HBO был членом элитного подразделения кибершпионажа Ирана «Очаровательный котенок»» . Мигающий компьютер .
^ «Иранские хакеры нацелены на экспертов-ядерщиков и официальных лиц США» . Мрачное чтение . 15 декабря 2018 г.
^ Саттер, Рафаэль (13 декабря 2018 г.). «Эксклюзив AP: иранские хакеры охотятся за работниками атомной энергетики и объектами США» . АП НОВОСТИ .
^ «Бывший агент контрразведки США обвинен в шпионаже от имени Ирана; четверо иранцев обвинены в киберкампании, направленной против ее бывших коллег» (пресс-релиз). Министерство юстиции США, Управление по связям с общественностью. 13 февраля 2019 г.
^ «Microsoft захватывает 99 доменов, принадлежащих иранским государственным хакерам» . Новости @WebHosting.info . 28 марта 2019 г.
^ «Недавние кибератаки требуют от нас всех быть бдительными» . Microsoft о проблемах . 4 октября 2019 г. . Проверено 10 декабря 2020 г.
^ Бинг, Кристофер; Саттер, Рафаэль (4 октября 2019 г.). «Эксклюзив: кампания Трампа стала объектом атаки хакеров, связанных с Ираном – источники» . Рейтер .
^ АП. «Иран отрицает вмешательство США в выборы, заявляя, что у него нет предпочтений» . www.timesofisrael.com . Проверено 10 декабря 2020 г.
^ «Котята вернулись в город 2» (PDF) . Кибербезопасность ClearSky . Октябрь 2019.
^ Баш, «Аякс» (23 августа 2022 г.). «Новый иранский инструмент извлечения данных APT» . Группа анализа угроз (TAG) .

[1] «Microsoft использует постановление суда для закрытия веб-сайтов APT35» . КиберСкуп . 27 марта 2019 г.

[2] «Команда безопасности Ajax возглавляет хакерские группы в Иране» . Дела безопасности . 13 мая 2014 г.

[3] «Бумага для заморозки вокруг бесплатного мяса» . Securelist.com . 27 апреля 2016 г.

[4] Басс, Дина. «Microsoft берется за еще одну хакерскую группу, имеющую связи с Ираном» . news.bloomberglaw.com .

[5] «ОТМЕНЕНО: сдерживание потенциально разрушительного противника» . Огненный Глаз .

[6] «Иранская группа Charming Kitten ATP выдает себя за израильскую фирму по кибербезопасности в фишинговой кампании» . Дела безопасности . 3 июля 2018 г.

[7] Блайндер, Алан; Туркевиц, Джули; Гольдман, Адам (16 февраля 2019 г.). «Изолированная и плывущая по течению американка обратилась к Ирану» . Нью-Йорк Таймс . ISSN 0362-4331 . Проверено 23 апреля 2022 г.

[8] «Взлом HBO: что мы знаем (и чего не знаем) — Vox» . 5 августа 2017 г.

[9] Пецки, Дениз (31 июля 2017 г.). «HBO подтверждает, что на него произошла кибератака» .

[10] «Хакер HBO был членом элитного подразделения кибершпионажа Ирана «Очаровательный котенок»» . Мигающий компьютер .

[11] «Иранские хакеры нацелены на экспертов-ядерщиков и официальных лиц США» . Мрачное чтение . 15 декабря 2018 г.

[12] Саттер, Рафаэль (13 декабря 2018 г.). «Эксклюзив AP: иранские хакеры охотятся за работниками атомной энергетики и объектами США» . АП НОВОСТИ .

[13] «Бывший агент контрразведки США обвинен в шпионаже от имени Ирана; четверо иранцев обвинены в киберкампании, направленной против ее бывших коллег» (пресс-релиз). Министерство юстиции США, Управление по связям с общественностью. 13 февраля 2019 г.

[14] «Microsoft захватывает 99 доменов, принадлежащих иранским государственным хакерам» . Новости @WebHosting.info . 28 марта 2019 г.

[15] «Недавние кибератаки требуют от нас всех быть бдительными» . Microsoft о проблемах . 4 октября 2019 г. . Проверено 10 декабря 2020 г.

[16] Бинг, Кристофер; Саттер, Рафаэль (4 октября 2019 г.). «Эксклюзив: кампания Трампа стала объектом атаки хакеров, связанных с Ираном – источники» . Рейтер .

[17] АП. «Иран отрицает вмешательство США в выборы, заявляя, что у него нет предпочтений» . www.timesofisrael.com . Проверено 10 декабря 2020 г.

[18] «Котята вернулись в город 2» (PDF) . Кибербезопасность ClearSky . Октябрь 2019.

[19] Баш, «Аякс» (23 августа 2022 г.). «Новый иранский инструмент извлечения данных APT» . Группа анализа угроз (TAG) .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

v т и Ирано-американские отношения
Diplomatic posts	Embassy of Iran, Washington, D.C. Ambassadors of Iran to the United States Embassy of the United States, Tehran Ambassadors of the United States to Iran Interests Section of Iran in the United States Consulate-General of the United States, Tabriz Bureau of Near Eastern Affairs Iran–United States Claims Tribunal Iranian Directorate Iran Syria Policy and Operations Group
Diplomacy	Persian Corridor Persian Gulf Command Nationalization of the Iranian oil industry 1953 Iranian coup d'état Abadan Crisis Timeline Treaty of Amity, Economic Relations and Consular Rights Exercise Delawar Project Dark Gene Safari Club Island of Stability Mahmoud Ahmadinejad's letter to George W. Bush Correspondence between Barack Obama and Ali Khamenei Phone conversation between Barack Obama and Hassan Rouhani Joint Comprehensive Plan of Action Negotiations Joint Plan of Action Framework Reactions Criticism Aftermath U.S. withdrawal
Conflicts	Iran–Iraq War United States support for Iraq Bridgeton incident Iran Air Flight 655 Iran Ajr Iran–Contra affair Operation Staunch Operation Eager Glacier Operation Earnest Will Operation Prime Chance Operation Nimble Archer Operation Praying Mantis Syrian civil war Yemeni Civil War Arab–Israeli alliance against Iran Abraham Accords February 2019 Warsaw Conference Iran–Israel proxy conflict Iran–Saudi Arabia proxy conflict Russia–Syria–Iran–Iraq coalition International Maritime Security Construct Assassination of Qasem Soleimani reactions Thirteen revenge scenarios Donald Trump's threat for the destruction of Iranian cultural sites Operation Martyr Soleimani 2020 Camp Taji attacks
Incidents after 1979	Assassination of Paul R. Shaffer and John H. Turner Iranian Revolution Iran hostage crisis Timeline Guadeloupe Conference Operation Credible Sport Operation Eagle Claw Canadian Caper Jimmy Carter's engagement with Ruhollah Khomeini 1980 October Surprise theory Negotiations Algiers Accords America can't do a damn thing against us Beirut barracks bombings Khobar Towers bombing Lawrence Franklin espionage scandal Disappearance of Robert Levinson United States kill or capture strategy in Iraq United States raid on the Iranian Liaison Office in Erbil Kidnapping of Jalal Sharafi 2008 Naval dispute Filipino Monkey Project Cassandra Detention of American hikers United States diplomatic cables leak 2011 alleged Iran assassination plot Strait of Hormuz dispute RQ-170 incident MV Maersk Tigris 2016 Naval incident Nuclear program of Iran Timeline P5+1 Operation Merlin Charming Kitten Stuxnet Kidnapping of Hossein Alikhani Arrest of Meng Wanzhou Deportation of Iranian students at US airports May 2019 Gulf of Oman incident June 2019 Gulf of Oman incident 2019 Iranian shoot-down of American drone 2019 K-1 Air Base attack December 2019 United States airstrikes in Iraq and Syria Attack on the United States embassy in Baghdad 2020 Iran explosions 2021 Erbil rocket attacks 2021 Natanz incident February 2021 United States airstrike in Syria Leaked Mohammad Javad Zarif audiotape June 2021 United States airstrike in Syria July 2021 Gulf of Oman incident August 2021 Gulf of Oman incident 2021 U.S.–Iran naval incident 2022 Erbil missile attacks 2023 Northeastern Syria clashes Seizure of Suez Rajan and St Nikolas Attacks on U.S. bases in Iraq, Jordan, and Syria (2023–present) 2024 Erbil attack Tower 22 drone attack
Legislation	United States sanctions against Iran Maximum pressure campaign Executive Order 12170 Executive Order 12172 Executive Order 13769 reactions Trump travel ban Executive Order 13780 Executive Order 13876 Iran and Libya Sanctions Act Iran Nonproliferation Act Iran, North Korea, Syria Nonproliferation Act Iran Freedom and Support Act Iran Sanctions Enhancement Act Kyl–Lieberman Amendment Comprehensive Iran Sanctions, Accountability, and Divestment Act Iran Freedom and Counter-Proliferation Act Public Law 113-100 Iran Nuclear Agreement Review Act Countering America's Adversaries Through Sanctions Act Dames & Moore v. Regan United States Diplomatic and Consular Staff in Tehran Oil Platforms case United States v. Banki Bank Markazi v. Peterson Certain Iranian Assets Rubin v. Islamic Republic of Iran Alleged violations of Treaty of Amity
Groups and individuals	Iran Action Group Iran–America Society Iranian Students Association in the United States National Iranian American Council Organization of Iranian American Communities Public Affairs Alliance of Iranian Americans United Against Nuclear Iran Farashgard Islamic Revolutionary Guard Corps Jundallah Kingdom Assembly of Iran National Council of Iran National Council of Resistance of Iran People's Mojahedin Organization of Iran Elliott Abrams Howard Baskerville William J. Fallon Brian Hook Joseph Macmanus Robert Malley Stephen D. Mull Jon Pattis Erwin David Rabhan Jason Rezaian Scott Ritter Craig Wadsworth Michael R. White Roxana Saberi Saeed Abedini Saeid Aboutaleb Shahram Amiri Sirous Asgari Mahmoud Reza Banki Haleh Esfandiari Amir Mirza Hekmati Ezedin Abdel Aziz Khalil Shahrzad Mirgholikhan Mohammad Hosseini Esha Momeni Mohammad Mosaddegh Baquer Namazi Siamak Namazi Sahar Nowrouzzadeh Reza Pahlavi, Crown Prince of Iran Noor Pahlavi Trita Parsi Maryam Rajavi Abdolreza Shahlaei Ali Shakeri Masoud Soleimani Morad Tahbaz Kian Tajbakhsh Karan Vafadari Xiyue Wang Nizar Zakka Iranian Guantanamo Bay detainees Abdul Majid Muhammed
Related	1998 FIFA World Cup match Academic relations between Iran and the United States American Islam Anti-American sentiment in Iran Axis of evil CIA activities in Iran Copyright relations Death to America Dual containment Great Satan International Conference on Hollywoodism Iran and state-sponsored terrorism Iranian frozen assets Opposition to military action against Iran Our enemy is here, they are lying that it is America State Sponsor of Terrorism United States involvement in regime change United States and state-sponsored terrorism 650 Fifth Avenue Alavi Foundation Alborz High School American Institute of Iranian Studies American School of Isfahan Community School, Tehran Damavand College Iran Bethel School Iranzamin School Saint Peter Church, Tehran Tehran American School "Bomb Iran" Overthrow Not for the Faint of Heart
Category