Hack-for-hire-kampanje retter seg mot aktivister og journalister

Global hack-for-hire-phishing-kampanje eksponerer smarttelefonbrukere verden over

En omfattende cybersikkerhetsundersøkelse har avdekket en aktiv hack-for-hire-phishing-operasjon som retter seg mot iOS- og Android-enheter over hele verden. Kampanjen, tilskrevet BITTER APT-gruppen, tok i bruk nærmere 1 500 falske domener utformet for å høste Apple ID-legitimasjon og andre tjenesteinnlogginger fra høyverdimål, inkludert offentlige tjenestemenn, journalister og aktivister. Når angriperne først fikk tilgang, kunne de nå sensitive iCloud-sikkerhetskopier og privat kommunikasjon, og forvandle et enkelt stjålet passord til en fullverdig etterretningsoperasjon.

Omfanget og målrettingen av denne kampanjen signaliserer noe viktig: dette er ikke opportunistisk nettkriminalitet. Det er organisert, vedvarende og rettet mot mennesker hvis kommunikasjon og identiteter har reell verdi i den virkelige verden.

Hvem er BITTER APT og hva vil de?

APT står for Advanced Persistent Threat, en kategori trusselaktør som opererer med spesifikke mål, betydelige ressurser og langsiktig tålmodighet. BITTER APT har blitt overvåket av sikkerhetsforskere i årevis og er generelt forbundet med spionasjemotiverte operasjoner i Sør- og Sørøst-Asia, selv om kampanjer som denne demonstrerer en bredere internasjonal rekkevidde.

Hack-for-hire-modellen legger til et nytt bekymringslag. I stedet for å handle utelukkende på vegne av én enkelt regjering eller organisasjon, selger hack-for-hire-grupper sine kapasiteter til klienter som ønsker etterretning innhentet om bestemte personer. Journalister som undersøker sensitive saker, aktivister som utfordrer mektige interesser, og tjenestemenn som besitter konfidensiell statlig informasjon er nøyaktig den typen mål disse klientene betaler for å overvåke.

Bruken av nærmere 1 500 falske domener er særlig betydningsfull. Å bygge og vedlikeholde den mengden falsk infrastruktur krever betydelige investeringer, noe som gjenspeiler hvor mye disse målene er verdt for den som bestilte operasjonen.

Slik fungerer phishing-angrepet

Phishing på dette sofistikasjonsnivået ser ikke ut som de dårlig formulerte svindel-e-postene som de fleste har lært å gjenkjenne. BITTER APTs operasjon involverte nøye utformede falske nettsteder som etterligner legitime Apple ID-innloggingssider og andre tjenesteportaler. Et mål mottar det som ser ut til å være en rutinemessig sikkerhetsvarsel eller kontomelding, klikker seg inn på en overbevisende kopi av et nettsted og skriver inn legitimasjonen sin uten å innse at de har overlevert den direkte til en angriper.

For Apple ID spesifikt strekker konsekvensene seg langt utover å miste tilgangen til en App Store-konto. Apple ID-legitimasjon låser opp iCloud-sikkerhetskopier som kan inneholde årevis med meldinger, bilder, kontakter, posisjonshistorikk og appdata. En angriper med denne legitimasjonen trenger ikke å kompromittere selve enheten; de logger ganske enkelt inn og laster ned alt som har blitt sikkerhetskopiert automatisk.

Android-brukere står overfor lignende risikoer gjennom legitimasjonstyveri rettet mot Google-kontoer og andre tjenester som samler personlig data på tvers av enheter og applikasjoner.

Hva dette betyr for deg

De fleste lesere er ikke offentlige tjenestemenn eller undersøkende journalister, men det betyr ikke at denne historien er irrelevant. Det er noen ting det er verdt å ta med seg fra denne undersøkelsen.

For det første kan phishing-infrastruktur bygget for høyverdimål også fange opp vanlige brukere. Falske domener utformet for å etterligne Apple- eller Google-tjenester sjekker ikke hvem som besøker dem. Hvis du støter på et slikt domene, er legitimasjonen din like mye i faresonen som noen annens.

For det andre er avsløringen av iCloud og skybaserte sikkerhetskopier som en primær angrepsflate en påminnelse om at kontosikkerhet er enhetssikkerhet. Å beskytte telefonen din med en sterk kode betyr svært lite hvis en angriper kan logge inn på skykontoen din fra en nettleser og få tilgang til alt som er lagret der.

For det tredje bør de som er mest utsatt for kampanjer som denne – inkludert journalister, forskere, advokater, helsepersonell og aktivister – behandle sin digitale sikkerhet med samme alvor som de ville anvende på fysisk sikkerhet i et sensitivt miljø.

Praktiske tiltak det er verdt å ta akkurat nå:

• Aktiver tofaktorautentisering på Apple ID-en din, Google-kontoen din og alle andre tjenester som lagrer sensitive data. Dette ene tiltaket hever kostnaden for et legitimasjonsbasert angrep betydelig.
• Bruk en passordbehandler for å sikre at hver konto har et unikt, sterkt passord. Gjenbruk av legitimasjon på tvers av tjenester øker skadeomfanget dramatisk ved ethvert enkelt datainnbrudd.
• Vær skeptisk til uønskede meldinger som ber deg bekrefte kontolegitimasjon, selv om de ser ut til å komme fra Apple, Google eller en annen betrodd tjeneste. Naviger direkte til offisielle nettsteder i stedet for å klikke på lenker i e-poster eller meldinger.
• Gjennomgå hva som sikkerhetskopieres til skykontoene dine og vurder om alt dette trenger å ligge der.
• Hold mobiloperativsystemet oppdatert. Sikkerhetsoppdateringer lukker sårbarheter som kampanjer som denne kan forsøke å utnytte.

BITTER APT-kampanjen er en tydelig illustrasjon på at mobile enheter har blitt et primærmål for sofistikerte trusselaktører, ikke bare et sekundærmål. Phishing-teknikkene som brukes er utformet for å omgå bevissthet, ikke utløse den. Å holde seg beskyttet krever at man bygger vaner som fungerer selv når et angrep er overbevisende, fordi de best utformede er ment å være nettopp det.

Å gjennomgå sikkerhetsinnstillingene for kontoen din i dag tar under femten minutter og kan utgjøre en reell forskjell dersom legitimasjonen din noen gang blir målrettet.