Согласно последнему отчету Mandiant, американской компании по кибербезопасности (дочерней компании Google), спонсируемая иранским правительством организация по кибершпионажу, использует усовершенствованные схемы для кражи личных данных. Атаки нацелены на западные и ближневосточные НПО, средства массовой информации, научные круги, юридические службы и активистов.
Группировка иранских хакеров APT42, действующая под эгидой Разведслужбы Корпуса стражей исламской революции (КСИР-IO), ведет шпионаж под видом журналистов и организаторов мероприятий, чтобы завоевать доверие своих жертв. Иранские хакеры ведут с объектами охоты переписку, просят об интервью и приглашают на конференции, подкрепляя свои слова выглядящими достоверно документами.
В частности, в зафиксированных случаях члены APT42 представлялись в переписке сотрудниками The Washington Post, The Economist и The Jerusalem Post. В некоторых случаях они выдавали себя за сотрудников известных вашингтонских аналитических центров, включая Институт Аспена, Институт Маккейна и Вашингтонский институт.
В других случаях злоумышленники маскировались под общие страницы входа, файловые хостинги и легальные сервисы, такие как YouTube, Gmail, Google Meet и Google Drive.
Также хакеры выкладывают приманки с аккаунтов, которые якобы принадлежат режиссерам, сотрудникам Fox News и журналистам-расследователям. В качестве приманки фигурирует документ для скачивания, якобы содержащий интересную информацию, например о правах женщин в Иране или о туннелях ХАМАСа в Газе.
Как пишут специалисты, эти схемы социальной инженерии позволили APT42 собрать учетные данные и использовать их для получения первичного доступа к облачным хранилищам, чтобы затем тайно похищать данные, представляющие стратегический интерес для Ирана.