当地时间8月28日,Mandiant和Google Cloud发布研究报告,称一个伊朗黑客组织通过社交媒体平台散布虚假的招聘网站和工作机会,以此作为诱饵内容,目的是识别可能与以色列等外国对手合作的伊朗人。这些诱饵发布在包括X和Virasty(伊朗的Twitter替代品)在内的平台上,冒充以色列的猎头或人力资源人员,引导用户至波斯语编写的虚假招聘网站,收集个人信息。该行动从2017年开始,最近一次发现在2024年3月,其主要动机是帮助伊朗政府进行反间谍活动。
这些虚假招聘网站专门针对具有IT和网络安全背景的人才,以及伊朗情报和安全部门的员工和官员,承诺提供优厚薪酬和隐私保护。Mandiant分析部门负责人Ben Read表示,尽管具体受影响人数未知,但该行动持续了七年之久,表明可能已取得一定成功。研究还指出,此次行动与APT42组织的活动有微弱重叠,但使用的是独立的IT基础设施,表明是独立实体。该行动的重点在于收集国内和海外波斯语异见人士的反情报信息,与美国大选无关。伊朗此举是为了削弱以色列在伊朗边境和邻近地区的情报活动,并试图识别与以色列接触的个人。
Mandiant观察到,一个伊朗黑客组织使用伪装的社交媒体账号向毫无戒心的受害者传播和分享虚假的招聘网站、工作机会和其他诱饵内容。
在约翰·勒卡雷的小说中,间谍猎手们在冷战时期的欧洲城市街道上四处游荡,精确定位秘密情报站,并拼凑出可以找到双重间谍的谜团信息。在现代世界,各国越来越多地利用社交媒体和互联网进行反间谍活动并识别潜在间谍。
根据Mandiant和Google Cloud的最新研究,这个伊朗黑客组织被发现使用伪装的社交媒体角色向毫无戒心的受害者传播和分享虚假的求职网站、就业机会和其他诱饵内容。攻击生命周期如下图所示。
这些内容发布在X和Virasty(Twitter/X 的伊朗替代品)等平台上,有人冒充以色列猎头或人力资源员工,将用户引导到用伊朗官方语言波斯语编写的招聘网站。点击者被要求提供个人信息,例如姓名、出生日期和家庭住址,以及有关其专业或学术背景的信息。这些信息被迅速发送给攻击者。
该行动于2017年首次发现,最后一次出现在 2024年3月,主要目的似乎是为了帮助伊朗政府识别可能与包括以色列在内的外国对手合作的伊朗人。
“此次活动收集的数据可能有助于伊朗情报机构查明有意与伊朗敌对国家合作的个人,”作者Ofir Rozmann、Asli Koksal和Sarah Bock写道。“收集的数据可能用于揭露针对伊朗的人力情报行动,并迫害任何涉嫌参与这些行动的伊朗人。”
“以色列情报部门显然在那里非常活跃,并产生了影响,”里德说,“因此,伊朗选择这种方式来削弱这种做法,并试图找到那些正在或可能与以色列人接触的个人,并试图首先确认他们的身份,这是有道理的。”
Mandiant估计这项活动旨在支持伊朗的反间谍工作,以识别与情报和安全机构有关联(或有兴趣合作)的个人。博文中描述的活动引起了伊朗个人的关注,他们涉嫌与伊朗可能视为对手的国家合作。这些人可能包括伊朗异见人士、活动家、人权倡导者以及居住在伊朗境内外的波斯语使用者。该活动通过多个社交媒体平台广泛传播其虚假人力资源网站网络,试图揭露可能与情报和安全机构合作并因此被视为对伊朗政权构成威胁的波斯语人士。收集到的数据(例如地址、联系方式以及专业和学术经验)可能会在未来针对目标个人的行动中得到利用。
原文始发于微信公众号(网空闲话plus):网空无间道!伊朗黑客利用社交媒体、招聘网站引诱以色列间谍
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论