Výskumníci analyzovali malvér, vďaka ktorému hackeri už minimálne šesť rokov sledujú odporcov iránskeho režimu. Iránske APT napriek tomu záujmu bezpečnostnej komunity unikajú.
Malvér s názvom MarkiRAT identifikovala bezpečnostná spoločnosť Kaspersky. Za svoju niekoľkoročnú existenciu viackrát zmenil svoju podobu pomocou programu Visual Studio vo verziách z rokov 2013, 2015 a 2017.
Za malvérom, ktorý už minimálne šesť rokov napáda počítače svojich obetí stojí pravdepodobne hackerská skupina Ferocious Kitten. Najčastejšími cieľmi sú iránski disidenti, prípadne obyvatelia, ktorí nesúhlasia so súčasnou politikou vládnuceho režimu.
Kvantita nad kvalitu
Vírus sa do počítačov dostal v správe, ktorá sa tvárila ako správa od politického väzňa či nepriateľa režimu. V prílohe mal dokument, ktorý po otvorení vyžadoval povolenie obsahu. Po udelení povolenia sa však do systému stiahol automaticky spustiteľný súbor s malvérom.
Výskumníci však podotýkajú, že tento vektor útoku začali útočníci využívať pomerne nedávno. Predtým distribuovali spustiteľné súbory priamo. Využívali pritom techniku, ktorou súbory zamaskovali do obrázkov či videí z protestov.
Útočníci mohli následne pomocou nástroja keylogger monitorovať, čo obeť píše na klávesnici. Na základe viacerých vopred nainštalovaných príkazov získali taktiež prístup k obsahu schránky či dokonca možnosť sťahovať a nahrávať do zariadenia súbory.
„Technická vyspelosť sady nástrojov sa nejaví ako vysoká priorita pre útočníkov, ktorí sú skôr zameraní na rozšírenie svojho arzenálu.“
Okrem toho výskumníci z Kaspersky zistili, že hackeri automatické spustenie malvéru implementovali aj do aplikácií Telegram a Google Chrome. Po tom, čo ich obeť otvorila, mohli útočníci monitorovať komunikáciu či vyhľadávanie.
Útočníci sa navyše zamerali aj na známu VPN Psiphon, ktorú iránski aktivisti používajú na obchádzanie cenzúry v krajine.
Koordinované sledovanie
Jednoznačný profil cielených obetí podčiarkujú názvy súborov, pridružené škodlivé stránky zneužívajúce domény populárnych iránskych platforiem či nástroj na identifikáciu perzskej klávesnice v napadnutom zariadení. Celá kampaň sa pritom nesie v politickom duchu.
Výskumníci taktiež objavili výrazné podobnosti medzi Ferocious Kitten a ďalšími APT skupinami ako Domestic Kitten či Rampant Kitten. Obe skupiny dlhodobo vedú špionážne operácie proti občanom, ktorí predstavujú hrozbu pre iránsky režim.
„Ferocious Kitten je príkladom aktéra, ktorý operuje v širšom ekosystéme určenom na sledovanie jednotlivcov v Iráne.“
Kaspersky podotýka, že tieto skupiny kyberbezpečnostní experti často neskúmajú a nevyvíjajú proti nim cielené bezpečnostné riešenia. To im dovoľuje opakovane využívať rovnakú infraštruktúru či nástroje.
Michael Andruch, Kristína Urbanová