Hack-for-Hire-kampagne retter sig mod aktivister og journalister

Global Hack-for-Hire-phishingkampagne afslører smartphonebrugere verden over

En omfattende cybersikkerhedsundersøgelse har afsløret en aktiv hack-for-hire-phishing-operation rettet mod iOS- og Android-enheder over hele kloden. Kampagnen, der tilskrives BITTER APT-gruppen, deployerede næsten 1.500 svigagtige domæner designet til at høste Apple ID-legitimationsoplysninger og andre servicelogins fra højværdimål, herunder regeringsembedsmænd, journalister og aktivister. Når angriberne fik adgang, kunne de nå følsomme iCloud-sikkerhedskopier og private kommunikationer og forvandle et simpelt stjålet kodeord til en fuld efterretningsoperation.

Kampagnens omfang og målretning signalerer noget vigtigt: dette er ikke opportunistisk cyberkriminalitet. Det er organiseret, vedvarende og rettet mod mennesker, hvis kommunikation og identiteter har reel værdi i den virkelige verden.

Hvem er BITTER APT, og hvad vil de?

APT står for Advanced Persistent Threat, en kategori af trusselsaktør, der opererer med specifikke mål, betydelige ressourcer og langsigtet tålmodighed. BITTER APT er blevet fulgt af sikkerhedsforskere i årevis og forbindes generelt med spionage-motiverede operationer i Syd- og Sydøstasien, selvom kampagner som denne demonstrerer en bredere international rækkevidde.

Hack-for-hire-modellen tilføjer endnu et lag af bekymring. I stedet for udelukkende at handle på vegne af en enkelt regering eller organisation sælger hack-for-hire-grupper deres kapaciteter til klienter, der ønsker efterretninger indsamlet om specifikke personer. Journalister, der undersøger følsomme historier, aktivister der udfordrer magtfulde interesser, og embedsmænd der besidder fortrolige regeringsoplysninger er præcis den slags mål, som disse klienter betaler for at overvåge.

Brugen af næsten 1.500 falske domæner er særligt bemærkelsesværdig. At bygge og vedligeholde den mængde svigagtig infrastruktur kræver en seriøs investering, hvilket afspejler, hvor meget disse mål er værd for den, der har bestilt operationen.

Sådan fungerer phishingangrebene

Phishing på dette sofistikerede niveau ligner ikke de dårligt formulerede svindel-e-mails, som de fleste mennesker har lært at genkende. BITTER APT's operation involverede omhyggeligt udformede falske websteder, der efterlignede legitime Apple ID-loginsider og andre serviceportaler. Et mål modtager, hvad der fremstår som en rutinemæssig sikkerhedsadvarsel eller kontonotifikation, klikker videre til et overbevisende replika-websted og indtaster sine legitimationsoplysninger uden at indse, at de har givet dem direkte til en angriber.

For Apple ID specifikt rækker konsekvenserne langt ud over at miste adgang til en App Store-konto. Apple ID-legitimationsoplysninger låser op for iCloud-sikkerhedskopier, der kan indeholde årevis af beskeder, fotos, kontakter, placeringshistorik og app-data. En angriber med disse legitimationsoplysninger behøver ikke at kompromittere selve enheden; de logger blot ind og downloader alt, der automatisk er blevet sikkerhedskopieret.

Android-brugere er udsat for lignende risici gennem tyveri af legitimationsoplysninger rettet mod Google-konti og andre tjenester, der samler personlige data på tværs af enheder og applikationer.

Hvad dette betyder for dig

De fleste læsere er ikke regeringsembedsmænd eller undersøgende journalister, men det betyder ikke, at denne historie er irrelevant. Der er et par ting, det er værd at tage med sig fra denne undersøgelse.

For det første kan phishing-infrastruktur bygget til højværdimål også ramme almindelige brugere. Falske domæner designet til at efterligne Apple- eller Google-tjenester kontrollerer ikke, hvem der besøger dem. Hvis du støder på et, er dine legitimationsoplysninger lige så udsatte som andres.

For det andet er afsløringen af iCloud og cloud-sikkerhedskopier som en primær angrebsflade en påmindelse om, at kontosikkerhed er enhedssikkerhed. Det betyder meget lidt at beskytte din telefon med en stærk adgangskode, hvis en angriber kan logge ind på din cloud-konto fra en browser og få adgang til alt, der er gemt der.

For det tredje bør de mennesker, der er mest udsatte for kampagner som denne – herunder journalister, forskere, advokater, sundhedspersonale og aktivister – behandle deres digitale sikkerhed med samme alvor, som de ville anvende på fysisk sikkerhed i et følsomt miljø.

Praktiske trin, der er værd at tage lige nu:

• Aktiver to-faktor-godkendelse på dit Apple ID, Google-konto og enhver anden tjeneste, der gemmer følsomme data. Dette ene skridt hæver betydeligt omkostningerne ved et legitimationsoplysnings-baseret angreb.
• Brug en adgangskodeadministrator for at sikre, at hver konto har et unikt, stærkt kodeord. Genbrug af legitimationsoplysninger på tværs af tjenester udvider dramatisk skaden fra ethvert enkelt databrud.
• Vær skeptisk over for enhver uopfordret besked, der beder dig om at verificere kontolegitimationsoplysninger, selv hvis den ser ud til at komme fra Apple, Google eller en anden betroet tjeneste. Naviger direkte til officielle websteder i stedet for at klikke på links i e-mails eller beskeder.
• Gennemgå, hvad der sikkerhedskopieres til dine cloud-konti, og overvej, om alt det behøver at være der.
• Hold dit mobile styresystem opdateret. Sikkerhedsopdateringer lukker sårbarheder, som kampagner som denne muligvis forsøger at udnytte.

BITTER APT-kampagnen er en tydelig illustration af, at mobile enheder er blevet et primært mål for sofistikerede trusselsaktører – ikke blot et sekundært. De phishing-teknikker, der anvendes, er designet til at omgå opmærksomheden, ikke at udløse den. At forblive beskyttet kræver, at man opbygger vaner, der virker selv når et angreb er overbevisende, fordi de bedst udformede er beregnet til at være det.

At gennemgå dine kontosikkerhedsindstillinger i dag tager mindre end femten minutter og kan gøre en reel forskel, hvis dine legitimationsoplysninger nogensinde bliver et mål.