Pahavara suutis varastada 2FA Google’i kontode SMS-koode. Ohus on ka telegramm ja muud sotsiaalvõrgustikud.
Check Pointi turvaeksperdid ütlesid, et Iraani häkkimisrühm on välja töötanud Androidi pahavara, mis suudab pealt kuulata SMS-i teel saadetud kahefaktorilise autentimise (2FA) koode.
Pahavara kuulus häkkimistööriistade arsenali, mille töötas välja häkkerirühmitus Rampant Kitten.
Check Point ütleb, et rühmitus on tegutsenud vähemalt kuus aastat ja osaleb käimasolevas jälitusoperatsioonis Iraani vähemuste, valitsusvastaste organisatsioonide ja vastupanuliikumiste vastu, näiteks:
- Camp Ashrafi perede ja vabaduse elanike ühendus (AFALR)
- Aserbaidžaani rahvuslik vastupanuorganisatsioon
- Belutšistani rahvas
Häkkerid kasutavad laia valikut pahavara, sealhulgas nelja Windowsi infovarastajate varianti ja pahatahtlike rakenduste sisse maskeeritud Androidi tagaust .
Windowsi pahavara kasutati peamiselt isiklike dokumentide ja failide varastamiseks Windowsile mõeldud Telegrami töölauakliendist, mis võimaldaks häkkeritel pääseda ligi ohvri Telegrami kontole.
Lisaks varastas Windowsi pahavara faile ka KeePassi paroolihaldurist. See on kooskõlas funktsionaalsuse kirjeldusega CISA-FBI ühises hoiatuses Iraani häkkerite ja nende pahavara kohta, mis avaldati selle nädala alguses.
Rakendus 2FA-st möödasõitmiseks
Kuid kuigi Rampant Kitteni häkkerid eelistasid Windowsi jaoks mõeldud troojalasi, töötasid nad välja ka Androidi jaoks sarnased tööriistad .
Check Pointi teadlased ütlesid eile avaldatud aruandes, et avastasid grupi poolt välja töötatud võimsa Androidi tagaukse. Tagauks võib varastada ohvri kontaktide loendi ja SMS-sõnumid, aktiveerida vaikselt mikrofoni ja liikuda andmepüügilehtedele.
Tagauks sisaldas ka skripte, mis olid spetsiaalselt loodud 2FA-koodide varastamiseks.
Check Point ütles, et pahavara püüab kinni ja edastab ründajatele kõik SMS-id, mis sisaldavad stringi "G-", mida tavaliselt kasutatakse 2FA-koodide eesliideseks Google’i kontodele, mis saadetakse kasutajatele SMS-i teel.
Rampant Kitteni operaatorid peaksid kasutama Androidi troojalasi, et sundida seadet avama Google’i andmepüügilehte, jäädvustama kasutaja mandaadid ja pääsema seejärel kontole juurde.
Kui ohvril oli kahefaktoriline autentimine lubatud, võib koodi nuuskimise funktsioon vaikselt saata ründajatele kahefaktorilise autentimiskoodi koopiad, võimaldades kaitsest mööda minna.
Check Point leidis ka tõendeid selle kohta, et pahavara saadab automaatselt edasi ka kõik Telegrami ja teiste sotsiaalvõrgustike sissetulevad SMS-id. Need sõnumitüübid sisaldavad ka 2FA-koode ja on väga tõenäoline, et rühm kasutas seda funktsiooni 2FA-st möödahiilimiseks mitte ainult Google’i kontodel.
Praegu maskeerub pahavara rakenduseks, mis aitab Rootsis pärsia keelt kõnelevatel inimestel saada juhiloa. Kuid see võib peituda ka teistes rakendustes, mis on suunatud Iraanis ja mujal elavatele Teherani režiimile vastu seisvatele iraanlastele.
Kuigi on üldiselt aktsepteeritud, et valitsuse toetatud häkkerirühmad võivad tavaliselt kahefaktorilisest autentimisest niikuinii mööda minna, saame väga harva aimu nende tööriistadest ja sellest, kuidas nad seda teevad.