Эксперт из ClearSky подвергся кибератаке хакерской группы Rocket Kitten. Нападение было осуществлено по причине проводимого исследователем мониторинга активности хакеров, которые, возможно, работают по заказу правительства Ирана. Видимо, эксперту удалось очень близко подобраться к киберпреступникам, за что он и подвергся фишинговой атаке.
Специализация группировки Rocket Kitten – политический шпионаж. Среди жертв активности киберпреступников есть дипломаты, журналисты, правозащитники, оборонные ведомства различных государств. Согласно информации Trend Micro, страны Среднего Востока чаще всего подвержены атакам хакеров из Rocket Kitten.
Эксперт из ClearSky смог выдать себя за человека, который может представлять интерес для Rocket Kitten. Первоначально хакеры безуспешно пытались связаться с ним, используя поддельный аккаунт в Facebook. Затем злоумышленниками была осуществлена фишинговая атака против одной из своих предыдущих жертв, с которой ранее также работал и эксперт. В качестве отправителя хакеры использовали имя исследователя. В результате в руки хакеров попала переписка исследователя и жертвы, и они смогли разоблачить эксперта. Однако неизвестно, действительно ли хакеры из Rocket Kitten не знали, что находятся под наблюдением.
Исследователями был проведен анализ шаблонов, по которым действует Rocket Kitten, по результатам которого они смогли определить ключевые особенности работы хакеров. Так, обычно для фишинговых атак они пользуются поддельными аккаунтами в Google Drive и Gmail. Злоумышленники выдают себя за общественного деятеля или личность, которой могут интересоваться хакеры. Чтобы подтвердить подлинность аккаунта, они используют украденную документацию. Чтобы непосредственно связаться с жертвой, Rocket Kitten отправляют личные сообщения в Facebook.
По информации ClearSky, в последнее время жертвами атак чаще становятся отдельные пользователи, а не на организации. Всего экспертами было идентифицировано 550 жертв Rocket Kitten.