Iranijski Hakeri Lažiraju Njemačku Modnu Agenciju: Nova Ugrožena Prijetnja
Nedavna izvješća otkrivaju intrige iza cyber napada u kojima su iranijski hakeri pokušali lažirati njemačku modnu agenciju. Prema izvješću kompanije Palo Alto Networks, specijaliziranoj za informatičku sigurnost, ova operacija je usmjerena na prikupljanje informacija o uređajima njihovih ciljanih žrtava.
Detalji Operacije
Izvješće iz jedinice 42 ističe kako potpuna funkcionalnost ove kampanje, koja bi mogla uključivati isporuku zlonamjernog softvera ili prikupljanje korisničkih podataka, još nije postignuta. Tijekom nadzora infrastrukture za koju vjeruju da je povezana s iranskim prijetnjama, istraživači su otkrili domenu “Megamodelstudio.com”.
Nakon brze analize stranice, otkriveno je da se radi o lažnoj naslovnici prave agencije megamodelagency.com, koja ima sjedište u Hamburgu, Njemačka. Obje web stranice izgledaju gotovo identične, ali postoje ključne razlike:
- Obfuskacija JavaScript-a: Zlonamjerna web stranica sadrži skriptu koja je dizajnirana za prikupljanje detaljnih informacija o posjetiteljima.
- Prikupljanje Podataka: Skripta prikuplja informacije o jezicima preglednika, dodatcima, rezoluciji zaslona, kao i oznakama vremena, omogućavajući napadačima da prate lokaciju i okoliš posjetitelja.
- Otkrivanje IP Adrese: Također otkriva lokalnu i javnu IP adresu korisnika, koristi canvas fingerprinting, i generira jedinstveni hash uređaja putem SHA-256.
- Prijenos Podataka: Prikupljeni podaci strukturirani su kao JSON i isporučeni na krajnju točku /ads/track putem POST zahtjeva.
Prema riječima istraživača iz Jedinice 42, svrha ovog koda je omogućiti ciljanje određenih uređaja putem prikupljanja specifičnih informacija o mreži i uređajima posjetitelja. “Ova konvencija imenovanja ukazuje na pokušaj prikrivanja prikupljanja podataka kao benignog reklamnog prometa mjesto [da] čuvanje i obrada potencijalnih otisaka ciljeva,” dodaju oni.
Lažne Profil Stranice i Moguće Buduće Prijetnje
Osim toga, među profilnim stranicama različitih modela, jedna je lažna. Ta stranica trenutno nije aktivna, no istraživači iz Jedinice 42 spekuliraju da bi mogla biti iskorištena u budućim zlonamjernim napadima, uključujući isporuku zlonamjernog softvera ili krađu pristupnih podataka.
Zaključak
Jedan od ključnih zaključaka istraživanja je da su iranski hakeri najvjerojatnije odgovorni za ovaj napad. Iako su istraživači manje sigurni o točnoj grupi iza napada, postoji mogućnost da se radi o Agentu Serpensu, poznatom i kao Charming Kitten, ili APT35. Ova situacija naglašava potrebu za novim pristupima u zaštiti od cyber prijetnji, s obzirom na sve sofisticiranije tehnike koje se koriste za prikupljanje osjetljivih informacija.
