Þjóðmiðstöð Netöryggi of Great Britain (NCSC) greinir frá reglulegum netárásum sem gerðar eru af tölvuþrjótum frá Rússlandi og Íran.
Samkvæmt sérfræðiskýrslunni nota tölvuþrjótahópar SEABORGIUM (aka Callisto Group/TA446/COLDRIVER/TAG-53) og TA453 (aka APT42/Charming Kitten/Yellow Garuda/ITG18) markvissar veðveiðaraðferðir til að ráðast á stofnanir og einkaaðila í þeim tilgangi að að safna upplýsingum.
Þrátt fyrir að þessir tveir hópar standi ekki saman, eru þeir einhvern veginn aðskildir hver frá öðrum árás sams konar félagasamtök, sem á síðasta ári innihéldu ríkisstofnanir, frjáls félagasamtök, samtök á varnar- og menntasviði, auk einstaklinga eins og stjórnmálamanna, blaðamanna og aðgerðarsinna.
Markviss vefveiðar eru, ef svo má segja, háþróuð tækni vefveiðar, þegar árásarmaður miðar á tiltekna manneskju og þykist hafa upplýsingar sem varða fórnarlambið sérstaklega. Í tilfelli SEABORGIUM og TA453, tryggja þeir þetta með því að kanna frjálst tiltækt úrræði til að fræðast um markmið þeirra.
Báðir hóparnir bjuggu til falsa prófíla á samfélagsmiðlum og þykjast vera kunningjar fórnarlambanna eða sérfræðinga á sínu sviði og blaðamenn. Það er yfirleitt skaðlaust samband í fyrstu þar sem SEABORGIUM og TA453 reyna að byggja upp samband við fórnarlambið til að öðlast traust þeirra. Sérfræðingar benda á að þetta getur varað í langan tíma. Tölvuþrjótar senda síðan skaðlegan hlekk, fella hann inn í tölvupóst eða í sameiginlegu skjali til Microsoft One Drive eða Google Drive.
Í miðjunni Netöryggi greint frá því að "í einu tilviki hafi [TA453] meira að segja skipulagt Zoom símtal til að deila illgjarnri slóð í spjallinu meðan á símtalinu stóð." Einnig hefur verið greint frá notkun á mörgum fölsuðum auðkennum í einni vefveiðarárás til að auka trúverðugleika.
Með því að fylgja tenglum er fórnarlambið venjulega farið á falsa innskráningarsíðu sem stjórnað er af árásarmönnum og eftir að hafa slegið inn skilríki þeirra er brotist inn á þá. Tölvuþrjótar fá síðan aðgang að pósthólf fórnarlamba sinna til að stela tölvupósti, viðhengjum og beina tölvupósti á reikning þeirra. Að auki nota þeir vistuðu tengiliðina í málamiðlunarpóstinum til að finna ný fórnarlömb í síðari árásum og hefja ferlið upp á nýtt.
Tölvuþrjótar úr báðum hópum nota reikninga frá algengum tölvupóstveitum til að búa til fölsuð auðkenni þegar þeir hafa fyrst samskipti við skotmark. Þeir bjuggu einnig til fölsuð lén fyrir að því er virðist lögmæt samtök. Fyrirtæki frá Netöryggi Proofpoint, sem hefur fylgst með TA2020 hópi Írans síðan 453, endurómar að mestu niðurstöður NCSC: „[TA453] herferðir geta byrjað með vikna vinalegum samtölum við tölvuþrjóta reikninga áður en reynt er að hakka. Þeir bentu einnig á að önnur markmið hópsins væru læknar, geimferðaverkfræðingur, fasteignasali og ferðaskrifstofur.
Að auki gaf fyrirtækið út eftirfarandi viðvörun: „Rannsóknarmenn sem vinna að alþjóðlegum öryggismálum, sérstaklega þeir sem sérhæfa sig í rannsóknum á Miðausturlöndum eða kjarnorkuöryggi, ættu að sýna aukna árvekni þegar þeir fá óumbeðinn tölvupóst. Til dæmis ættu sérfræðingar sem blaðamenn hafa samband við að skoða vefsíðu útgáfunnar til að ganga úr skugga um að netfangið tilheyri lögmætum fréttamanni.“
Einnig áhugavert: