המרכז הלאומי אבטחת סייבר של בריטניה הגדולה (NCSC) מדווח על מתקפות סייבר קבועות המבוצעות על ידי האקרים מרוסיה ומאיראן.
על פי דו"ח המומחה, קבוצות האקרים SEABORGIUM (הידוע גם בשם Callisto Group/TA446/COLDRIVER/TAG-53) ו-TA453 (המכונה APT42/Charming Kitten/Yellow Garuda/ITG18) משתמשות בטכניקות דיוג ממוקדות כדי לתקוף מוסדות ואנשים פרטיים לצורך אסיפת מידע.
למרות ששתי הקבוצות הללו אינן בזוגיות, איכשהו הן במקרה נפרדות זו מזו לִתְקוֹף אותם סוגי ארגונים, שכללו בשנה שעברה גופים ממשלתיים, ארגונים לא ממשלתיים, ארגונים במגזרי הביטחון והחינוך, וכן אנשים כמו פוליטיקאים, עיתונאים ופעילים.
דיוג ממוקד הוא, כביכול, טכניקה מתוחכמת דיוג, כאשר תוקף מכוון לאדם מסוים ומעמיד פנים שיש לו מידע שמעניין במיוחד את הקורבן שלו. במקרה של SEABORGIUM ו-TA453, הם מוודאים זאת על ידי חקר משאבים זמינים באופן חופשי כדי ללמוד על היעד שלהם.
שתי הקבוצות יצרו פרופילים מזויפים ברשתות החברתיות והתחזו למכרים של הקורבנות או מומחים בתחומם ועיתונאים. בדרך כלל יש מגע לא מזיק בהתחלה שכן SEABORGIUM ו-TA453 מנסים לבנות מערכת יחסים עם הקורבן שלהם כדי לזכות באמונם. מומחים מציינים שזה יכול להימשך תקופה ארוכה. האקרים לאחר מכן שולחים קישור זדוני, מטמיעים אותו באימייל או במסמך משותף אל Microsoft One Drive או Google Drive.
במרכז אבטחת סייבר דיווח כי "במקרה אחד [TA453] אפילו סידר שיחת זום כדי לשתף כתובת אתר זדונית בצ'אט במהלך השיחה." כמו כן דווח על שימוש במספר זהויות מזויפות במתקפת פישינג אחת כדי להגביר את האמינות.
מעקב אחר הקישורים מעביר את הקורבן בדרך כלל לדף התחברות מזויף שנשלט על ידי התוקפים, ולאחר הזנת האישורים שלהם, הם נפרצים. האקרים אז ניגשים לתיבות הדואר הנכנס של הקורבנות שלהם כדי לגנוב מיילים, קבצים מצורפים ולהפנות מחדש מיילים נכנסים לחשבונות שלהם. בנוסף, הם משתמשים באנשי הקשר השמורים במייל שנפרץ כדי למצוא קורבנות חדשים בהתקפות הבאות ולהתחיל את התהליך מחדש.
האקרים משתי הקבוצות משתמשים בחשבונות מספקי דוא"ל נפוצים כדי ליצור מזהים מזויפים כאשר הם מקיימים אינטראקציה ראשונה עם יעד. הם גם יצרו דומיינים מזויפים עבור ארגונים לגיטימיים לכאורה. חברה מ אבטחת סייבר Proofpoint, שעוקבת אחרי קבוצת TA2020 של איראן מאז 453, מהדהדת במידה רבה את ממצאי ה-NCSC: "קמפיינים של [TA453] יכולים להתחיל עם שבועות של שיחות ידידותיות עם חשבונות שנוצרו על ידי האקרים לפני ניסיון לפרוץ". הם גם ציינו שהמטרות האחרות של הקבוצה כללו חוקרים רפואיים, מהנדס תעופה וחלל, סוכן נדל"ן וסוכנויות נסיעות.
בנוסף, המשרד פרסם את האזהרה הבאה: "חוקרים העוסקים בנושאי אבטחה בינלאומיים, במיוחד אלו המתמחים במזרח התיכון או במחקרי אבטחה גרעינית, צריכים להפעיל ערנות מוגברת בעת קבלת מיילים לא רצויים. לדוגמה, מומחים אליהם פונים עיתונאים צריכים לבדוק באתר האינטרנט של הפרסום כדי לוודא שכתובת המייל שייכת לכתב לגיטימי".
מעניין גם: