Kampanja hakiranja za najam cilja aktiviste i novinare

Globalna phishing kampanja hakiranja za najam izlaže korisnike pametnih telefona širom svijeta

Opsežna istraga kibernetičke sigurnosti otkrila je aktivnu phishing operaciju hakiranja za najam koja cilja iOS i Android uređaje diljem svijeta. Kampanja, pripisana grupi BITTER APT, postavila je gotovo 1.500 lažnih domena osmišljenih za prikupljanje vjerodajnica Apple ID-a i drugih podataka za prijavu od visoko vrijednih meta, uključujući vladine dužnosnike, novinare i aktiviste. Nakon što bi napadači stekli pristup, mogli su doseći osjetljive iCloud sigurnosne kopije i privatne komunikacije, pretvarajući jednostavno ukradenu lozinku u potpunu obavještajnu operaciju.

Razmjer i ciljanje ove kampanje signaliziraju nešto važno: ovo nije oportunistički kibernetički kriminal. Organiziran je, ustrajan i usmjeren na ljude čije komunikacije i identiteti imaju vrijednost u stvarnom svijetu.

Tko je BITTER APT i što žele

APT je kratica za Naprednu Trajnu Prijetnju (engl. Advanced Persistent Threat), kategoriju prijetećih aktera koji djeluju s konkretnim ciljevima, značajnim resursima i dugoročnom strpljivošću. Istraživači sigurnosti prate BITTER APT godinama i općenito ga povezuju s operacijama motiviranim špijunažom u južnoj i jugoistočnoj Aziji, iako kampanje poput ove pokazuju širi međunarodni doseg.

Model hakiranja za najam dodaje još jedan sloj zabrinutosti. Umjesto da djeluju isključivo u ime jedne vlade ili organizacije, grupe za hakiranje za najam prodaju svoje sposobnosti klijentima koji žele prikupiti obavještajne podatke o određenim osobama. Novinari koji istražuju osjetljive priče, aktivisti koji izazivaju moćne interese i dužnosnici koji posjeduju povjerljive vladine informacije upravo su vrsta meta za čije nadziranje ti klijenti plaćaju.

Korištenje gotovo 1.500 lažnih domena posebno je značajno. Izgradnja i održavanje takvog opsega lažne infrastrukture zahtijeva ozbiljna ulaganja, što odražava koliko su te mete vrijedne onima koji su naručili operaciju.

Kako phishing napad funkcionira

Phishing na ovoj razini sofisticiranosti ne izgleda kao loše formulirani prijevarni e-mailovi koje je većina ljudi naučila prepoznati. Operacija BITTER APT-a uključivala je pažljivo izrađene lažne web-stranice koje oponašaju legitimne stranice za prijavu Apple ID-a i druge portale usluga. Meta prima ono što izgleda kao rutinsko sigurnosno upozorenje ili obavijest o računu, klikne na uvjerljivu kopiju stranice i unese svoje vjerodajnice, ne shvaćajući da ih je predala izravno napadaču.

Za Apple ID posebno, posljedice daleko nadilaze gubitak pristupa računu App Storea. Vjerodajnice Apple ID-a otključavaju iCloud sigurnosne kopije koje mogu sadržavati godine poruka, fotografija, kontakata, povijesti lokacija i podataka aplikacija. Napadač s tim vjerodajnicama ne mora kompromitirati sam uređaj; jednostavno se prijavi i preuzme sve što je automatski sigurnosno kopirano.

Korisnici Androida suočavaju se s jednakim rizicima putem krađe vjerodajnica koje ciljaju Google račune i druge usluge koje agregiraju osobne podatke na svim uređajima i aplikacijama.

Što to znači za vas

Većina čitatelja nisu vladini dužnosnici ili istraživački novinari, ali to ne znači da je ova priča nebitna. Nekoliko stvari vrijedi ponijeti iz ove istrage.

Prvo, phishing infrastruktura izgrađena za visoko vrijedne mete može zahvatiti i obične korisnike. Lažne domene osmišljene da oponašaju Apple ili Google usluge ne provjeravaju tko ih posjećuje. Ako na jednu naletite, vaše su vjerodajnice jednako ugrožene kao i tuđe.

Drugo, izloženost iClouda i sigurnosnih kopija u oblaku kao primarne napadne površine podsjetnik je da sigurnost računa ujedno znači i sigurnost uređaja. Zaštita telefona jakim PIN-om znači vrlo malo ako se napadač može prijaviti na vaš račun u oblaku putem preglednika i pristupiti svemu što je tamo pohranjeno.

Treće, osobe kojima kampanje poput ove prijete najviše — uključujući novinare, istraživače, odvjetnike, zdravstvene radnike i aktiviste — trebale bi svoju digitalnu sigurnost tretirati s jednakom ozbiljnošću s kojom bi pristupile fizičkoj sigurnosti u osjetljivom okruženju.

Praktični koraci koje vrijedi poduzeti odmah:

• Omogućite dvofaktorsku autentifikaciju na svom Apple ID-u, Google računu i svakoj drugoj usluzi koja pohranjuje osjetljive podatke. Ovaj jedan korak značajno povećava cijenu napada temeljenog na vjerodajnicama.
• Koristite upravitelja lozinkama kako biste osigurali da svaki račun ima jedinstvenu, jaku lozinku. Ponovna upotreba vjerodajnica na više usluga dramatično proširuje štetu od svake pojedine povrede podataka.
• Budite skeptični prema svakoj neželenoj poruci koja vas traži da potvrdite vjerodajnice računa, čak i ako izgleda kao da dolazi od Applea, Googlea ili neke druge pouzdane usluge. Izravno se navigirajte na službene web-stranice umjesto da klikate na veze u e-mailovima ili porukama.
• Pregledajte što se sigurnosno kopira na vaše račune u oblaku i razmislite treba li sve to tamo biti.
• Ažurirajte mobilni operativni sustav. Sigurnosne zakrpe zatvaraju ranjivosti koje kampanje poput ove mogu pokušati iskoristiti.

Kampanja BITTER APT-a jasna je ilustracija da su mobilni uređaji postali primarna meta za sofisticirane prijetnje, a ne samo sekundarna. Phishing tehnike koje se koriste osmišljene su da zaobiđu svjesnost, a ne da je aktiviraju. Ostati zaštićen zahtijeva izgradnju navika koje funkcioniraju čak i kada je napad uvjerljiv — jer oni najbolje osmišljeni upravo to i jesu.

Pregled postavki sigurnosti vašeg računa danas traje manje od petnaest minuta i mogao bi napraviti značajnu razliku ako vaše vjerodajnice ikada budu na meti.