Kampaň „hack-for-hire" se zaměřuje na aktivisty a novináře

Globální phishingová kampaň hack-for-hire ohrožuje uživatele chytrých telefonů po celém světě

Rozsáhlé šetření v oblasti kybernetické bezpečnosti odhalilo aktivní phishingovou operaci typu hack-for-hire zaměřenou na zařízení se systémem iOS a Android po celém světě. Kampaň, přisuzovaná skupině BITTER APT, nasadila téměř 1 500 podvodných domén určených k získávání přihlašovacích údajů Apple ID a dalších služeb od vysoce hodnotných cílů, včetně vládních úředníků, novinářů a aktivistů. Jakmile útočníci získali přístup, mohli se dostat k citlivým zálohám v iCloudu a soukromé komunikaci – z jediného ukradeného hesla se tak stala plnohodnotná zpravodajská operace.

Rozsah a zaměření této kampaně jsou výmluvné: nejde o příležitostnou kybernetickou kriminalitu. Jde o organizovanou, vytrvalou činnost, která se soustřeďuje na lidi, jejichž komunikace a identity mají reálnou hodnotu.

Kdo je BITTER APT a co chce

APT je zkratka pro pokročilou přetrvávající hrozbu (Advanced Persistent Threat) – kategorii aktérů hrozeb, kteří operují s konkrétními cíli, značnými zdroji a dlouhodobou trpělivostí. Skupina BITTER APT je sledována bezpečnostními výzkumníky již řadu let a je obecně spojována s operacemi motivovanými špionáží v jižní a jihovýchodní Asii, přičemž kampaně jako tato dokládají její širší mezinárodní dosah.

Model hack-for-hire přináší další vrstvu znepokojení. Místo toho, aby skupiny tohoto typu jednaly výhradně jménem jediné vlády nebo organizace, prodávají své schopnosti klientům, kteří chtějí získat zpravodajské informace o konkrétních osobách. Novináři investigující citlivé kauzy, aktivisté zpochybňující mocné zájmy a úředníci uchovávající důvěrné vládní informace jsou přesně takové cíle, za jejichž sledování jsou tito klienti ochotni platit.

Použití téměř 1 500 falešných domén je obzvláště závažné. Vybudování a udržování takového objemu podvodné infrastruktury vyžaduje značné investice, což odráží hodnotu, jakou mají tito cíle pro toho, kdo operaci objednal.

Jak phishingový útok funguje

Phishing na této úrovni sofistikovanosti nevypadá jako špatně napsané podvodné e-maily, které se většina lidí naučila rozpoznávat. Operace skupiny BITTER APT zahrnovala pečlivě zpracované falešné webové stránky napodobující legitimní přihlašovací stránky Apple ID a další servisní portály. Cíl obdrží zprávu, která vypadá jako běžné bezpečnostní upozornění nebo oznámení o účtu, proklikne se na přesvědčivou kopii webu a zadá své přihlašovací údaje, aniž si uvědomí, že je přímo předal útočníkovi.

V případě Apple ID konkrétně jdou důsledky daleko za pouhou ztrátu přístupu k účtu v App Store. Přihlašovací údaje Apple ID odemykají zálohy v iCloudu, které mohou obsahovat roky zpráv, fotografií, kontaktů, historii polohy a data aplikací. Útočník s těmito přihlašovacími údaji nemusí kompromitovat samotné zařízení – jednoduše se přihlásí a stáhne vše, co bylo automaticky zálohováno.

Uživatelé systému Android čelí podobným rizikům prostřednictvím krádeže přihlašovacích údajů zaměřené na účty Google a další služby, které agregují osobní data napříč zařízeními a aplikacemi.

Co to znamená pro vás

Většina čtenářů nejsou vládní úředníci ani investigativní novináři, ale to neznamená, že se jich tato zpráva netýká. Z tohoto šetření stojí za to vyvodit několik závěrů.

Zaprvé, phishingová infrastruktura vybudovaná pro vysoce hodnotné cíle může zachytit i běžné uživatele. Falešné domény navržené k napodobení služeb Apple nebo Google nekontrolují, kdo je navštěvuje. Pokud na jednu narazíte, jsou vaše přihlašovací údaje stejně ohrožené jako údaje kohokoli jiného.

Zadruhé, odhalení iCloudu a cloudových záloh jako primárního místa útoku je připomínkou toho, že zabezpečení účtu je zároveň zabezpečením zařízení. Ochrana telefonu silným přístupovým kódem má velmi malý význam, pokud se útočník může přihlásit k vašemu cloudovému účtu z prohlížeče a získat přístup ke všemu, co je tam uloženo.

Zatřetí, lidé, kteří jsou takovými kampaněmi nejvíce ohroženi – včetně novinářů, výzkumníků, právníků, zdravotníků a aktivistů – by měli ke svému digitálnímu zabezpečení přistupovat se stejnou vážností, jakou by uplatnili při fyzickém zabezpečení v citlivém prostředí.

Praktické kroky, které stojí za to podniknout hned teď:

• Povolte dvoufaktorové ověřování u svého Apple ID, účtu Google a jakékoli jiné služby, která uchovává citlivá data. Tento jediný krok výrazně zvyšuje náklady na útok založený na krádeži přihlašovacích údajů.
• Používejte správce hesel, abyste zajistili, že každý účet má jedinečné a silné heslo. Opakované používání přihlašovacích údajů napříč službami dramaticky rozšiřuje škody způsobené jediným bezpečnostním incidentem.
• Buďte skeptičtí k jakékoli nevyžádané zprávě, která vás žádá o ověření přihlašovacích údajů, i když se zdá pocházet od Applu, Googlu nebo jiné důvěryhodné služby. Přecházejte přímo na oficiální webové stránky, místo abyste klikali na odkazy v e-mailech nebo zprávách.
• Zkontrolujte, co se zálohuje do vašich cloudových účtů, a zvažte, zda to všechno musí být uloženo.
• Udržujte operační systém svého mobilního zařízení aktualizovaný. Bezpečnostní záplaty uzavírají zranitelnosti, které se takovéto kampaně mohou pokoušet zneužít.

Kampaň skupiny BITTER APT je jasnou ilustrací toho, že mobilní zařízení se stala primárním cílem sofistikovaných aktérů hrozeb, nikoli jen sekundárním. Používané phishingové techniky jsou navrženy tak, aby obešly ostražitost, nikoli aby ji spustily. Zachování ochrany vyžaduje budování návyků, které fungují i tehdy, kdy je útok přesvědčivý – protože ty nejlépe navržené mají být přesvědčivé.

Kontrola nastavení zabezpečení vašich účtů dnes zabere méně než patnáct minut a může mít zásadní význam, pokud jsou vaše přihlašovací údaje někdy terčem útoku.