I cyber attacchi sono mutevoli: gli attaccanti sono costantemente alla ricerca di nuovi metodi che, sfruttando l’ingegneria sociale, permettano di colpire il proprio target.
Uno di questi è l’attacco “watering hole” – letteralmente “pozza d’acqua” – che punta a sfruttare, rispetto ad un normale attacco di phishing, la circospezione della vittima: si punta proprio sull’educazione informatica impartita ai soggetti-bersaglio per evitare di “abboccare all’amo” delle truffe di phishing che popolano il web, facendo apparire le fonti alle quali abbeverarsi e gli indirizzi da cui si contatta il target come affidabili e verificate.
Tale offensiva di norma avviene in 3 passaggi:
1) in primis vengono identificati ed osservati i siti web e servizi online che il bersaglio utilizza spesso;
2) vengono infettati uno o più di questi servizi con malware e codici malevoli.
3) si attende che il proprio bersaglio o i bersagli rimangano infettati nel momento in cui i servizi saranno oramai intaccati.
Questo è proprio il metodo che il team di ricerca della società informatica israeliana ClearSky ha scoperto esser stato utilizzato da un gruppo di hacker iraniani noti come Charming Kitten, oltre che con vari pseudonimi quali Newscaster, APT35, Parastoo, iKittens, Group 83, Newsbeef, impersonando giornalisti per poter colpire governi, apparati militari e diplomatici.
In particolare è emerso che dallo scorso luglio hanno cominciato ad impersonare giornalisti, preferibilmente di lingua persiana, onde evitare di essere smascherati per via dell’accento durante le telefonate, dell’emittente tedesca Deutsche Welle e della redazione del settimanale ebraico Jewish Journal, utilizzando tanto e-mail quanto messaggi via WhatsApp e LinkedIn, e perfino telefonate, per avvicinare i loro bersagli e convincerli ad aprire i link malevoli.
Il network giornalistico tedesco, avvisato del furto d’identità e dell’attacco watering hole nel loro sito web, ha confermato che il giornalista impersonato dal collettivo informatico Charming Kitten non aveva inviato e-mail alla vittima né a nessun altro ricercatore accademico in Israele nell’ultimo periodo.
Questo perché l’attacco con metodo Waterhole al dominio Deutsche Welle ha sì dato permesso agli hacker di carpire informazioni tramite WhatsApp, ma non prima che le vittime, in particolare docenti universitari ed esperti, fossero state precedentemente avvicinate attraverso collaudati metodi di ingegneria sociale con l’intenzione di attirare gli accademici a parlare ad un fantomatico webinar online.
“La corrispondenza è iniziata con un’e-mail inviata al destinatario, avviando una conversazione”, ha spiegato Clearsky. “Dopo una breve conversazione con il bersaglio, l’attaccante Charming Kitten chiede di spostare la conversazione su WhatsApp. Se il bersaglio rifiuta di spostarsi su WhatsApp, l’attaccante invierà un messaggio tramite un falso profilo LinkedIn”.
Sebbene APT35 possa aver introdotto un nuovo vettore di attacco, questa non è la prima volta che gli hacker iraniani utilizzano i canali dei social media per spiare il personale di interesse. Già più di un lustro fa erano stati scoperti da FireEye falsi account Facebook e un sito di fake news per spiare i leader militari e politici negli Stati Uniti, Israele e altri paesi avversari.
