Se cree que un grupo de amenazas persistentes avanzadas, con vínculos con Irán, está detrás de una campaña de phishing dirigida a personal israelí gubernamental y militar de alto perfil, según un informe de Check Point Software.
Los objetivos de la campaña incluyeron un alto liderazgo en la industria de defensa israelí, el ex embajador de Estados Unidos en Israel y el ex viceprimer ministro de Israel.
El objetivo de la campaña, dijeron los investigadores, era obtener información personal de los objetivos.
Correos electrónicos falsos de direcciones legítimas
Uno de los objetivos, según Check Point, es Tzipi Livni, ex ministra de Relaciones Exteriores, ministra de Justicia y viceprimera ministra de Israel. Los investigadores creen que el objetivo fue seleccionado debido a la lista de contactos de alto calibre en su libreta de direcciones.
No hace mucho recibió un correo electrónico de, según los investigadores, "un conocido ex general de división de las FDI que sirvió en una posición altamente sensible". La dirección del remitente no fue falsificada, era el mismo dominio con el que se había correspondido antes. Traducido del hebreo, el mensaje decía:
Hola mis queridos amigos, Por favor vea el artículo adjunto para resumir el año. ((*sólo ojos*)) Por supuesto que no quiero que se distribuya, porque no es la versión final. Estaré encantado de recibir comentarios de cualquier tipo. Que tengas un gran descanso del día.
El mensaje contenía un enlace. Livni se demoró en hacer clic en el enlace, lo que provocó varios correos electrónicos de seguimiento.
Buenos días, no he tenido noticias tuyas. Algunos amigos me enviaron comentarios. Sus observaciones también son muy importantes para mí. Sé que estás muy ocupado. Pero quería pedirte que te tomaras tu tiempo y leyeras el artículo. Buena semana
La persistencia del remitente y la ráfaga de mensajes levantaron sus sospechas, según Check Point. Después de que Livni se reunió con el ex mayor general, quedó claro que los correos electrónicos se enviaron desde una cuenta comprometida y que el contenido de los mensajes era parte de un ataque de phishing.
Fue una historia similar para los otros objetivos en esta campaña: correos electrónicos sospechosos se enviaban desde contactos legítimos.
Lo que realmente sucedió
El método de ataque no era particularmente técnico. "La parte más sofisticada de la operación es la ingeniería social", señaló Sergey Shykevich, gerente del grupo de inteligencia de amenazas de Check Point Research. Dijo que la campaña era "una cadena de phishing muy específica que está diseñada específicamente para cada objetivo". Los correos electrónicos de phishing creados personalmente son una técnica llamada spear phishing.
Los atacantes iniciaron sus ataques de spear phishing, primero comprometiendo una libreta de direcciones de correo electrónico perteneciente a un contacto de su objetivo. Luego, usando la cuenta secuestrada, continuarían una cadena de correo electrónico ya existente entre el contacto y el objetivo. Con el tiempo, dirigirían la conversación hacia engañar al objetivo para que hiciera clic o abriera un enlace o documento malicioso.
"Algunos de los correos electrónicos incluyen un enlace a un documento real que es relevante para el objetivo", señalaron los analistas de Check Point. Por ejemplo, una "invitación a una conferencia o investigación, página de phishing de Yahoo, enlace para cargar escaneos de documentos".
"El objetivo", al final, era "robar su información personal, escaneos de pasaportes y robar el acceso a sus cuentas de correo".
Quién y por qué
"Tenemos pruebas sólidas de que comenzó al menos a partir de diciembre de 2021", escribió Shykevich, "pero suponemos que comenzó antes".
En su análisis, los investigadores encontraron evidencia que creen que apunta al grupo APT de fósforo vinculado a Irán (también conocido como APT de fósforo). Charming Kitten, Ajax Security, NewsBeef, APT35). Phosphorus es una de las APT más activas de Irán, con "una larga historia de realizar operaciones cibernéticas de alto perfil, alineadas con los intereses del régimen iraní, así como atacar a funcionarios israelíes".
Irán e Israel suelen estar en desacuerdo, y estos ataques se produjeron "en medio de las crecientes tensiones entre Israel e Irán. Con los recientes asesinatos de funcionarios iraníes (algunos afiliados al Mossad israelí) y los intentos frustrados de secuestrar a ciudadanos israelíes en todo el mundo, sospechamos que Phosphorous continuará con sus esfuerzos en curso en el futuro".