天创培训:您身边的信息安全培训专家!
开班计划
2018年11月CISP培训开班通知
主讲老师   张老师、王老师等
开课时间   2018年11月20日-25日
培训方式   实地/面授
授课天次   培训5天+考试半天
上课时间   09:00 -- 16:30
课程介绍 在线报名
行业动态您当前位置:首页 > 最新动态 > 行业动态

黑客团伙利用Instagram和Telegram设套,针对伊朗开展间谍活动

作者:天创培训  来源:px.tcnet.com.cn  更新时间:2018-11-07  关键词:黑客团伙

黑客团伙利用Instagram和Telegram设套,针对伊朗开展间谍活动

思科发现有组织(被国家资助)使用了多种技术远程访问社交媒体和安全信息应用程序。活动从2017年持续到了2018年,他们使用了包括假登录页面、伪装成合法副本的恶意应用程序和BGP劫持等技术攻击用户窃取其私人信息,据思科调查,这些活动似乎专门针对Telegram(消息应用程序)和Instagram(社交应用程序)上的伊朗用户。

Telegram已经成为伊朗“灰色”软件的热门目标,因为大约4000万用户使用该应用程序。虽然它主要用于日常交流,但抗议组织者过去也曾用它来组织针对伊朗政府的示威活动,特别是在2017年12月。在少数情况下,伊朗政府要求Telegram关闭某些“促进暴力”的渠道。

从2017年开始,有人一直在使用各类策略收集Telegram和Instagram的用户信息,

这些活动的复杂性,资源需求和方法各不相同。思科分析,这些活动专门针对电报应用程序的伊朗用户,以窃取个人和登录信息。

安装后,即使用户使用了合法Telegram应用程序,但一些“克隆版”Telegram也能访问移动设备的完整联系人列表和消息。而下载了假Instagram后,恶意软件悔将完整的会话数据发送回后端服务器,这允许攻击者完全控制正在使用的帐户。

思科将这些应用归类为“灰色软件”。它不具有明确的恶意破坏性,不能被归类为恶意软件,但其可疑性足以被视为潜在有害程序(PUP)。这种软件很难检测,因为它通常满足用户期望的功能(例如发送消息)。研究人员检测到它的时机取决于它产生的影响。Talos最终发现了几款潜在影响巨大的广告系列软件,他们认为灰色软件有可能降低用户使用这些应用程序的隐私和安全性,其研究表明,其中一些应用程序将数据发送回主机服务器,或者以某种方式从位于伊朗的IP地址进行控制,即使这些设备位于国外也是如此。

虽然创建虚假登录页面技术本身并不先进,但它们足以诱使不懂网络安全的用户掉入陷阱,比如伊朗间谍组织“Charming Kitten”针对消息应用程序热衷于使用这个技术。部分攻击者则劫持BGP协议,它会重定向所有路由器的流量,而无需考虑设备的原始路由。为了劫持BGP,需要雨互联网服务提供商(ISP)进行某种合作,而且这种合作很容易被察觉,所以重定向的新路线不会存在过久。

思科暂时还没有在观察到的多次活动中找到确切的联系,但活动明显的共性是它们都针对伊朗用户和他们所使用的应用程序。尽管文内所提的活动仅针对伊朗,但其实这些技术可以威胁任何国家用户的应用程序安全性,这种情况在伊朗和俄罗斯尤其突出,因为恶意程序开发者会在官方及非官方应用商店中复制应用程序,(所以)这些国家禁用Telegram这样的应用。

普通用户对BGP劫持无能为力,但是使用来自官方应用程序存储的合法应用程序可以降低风险。同样的规则也适用于克隆的应用程序,从不可信的来源安装应用程序意味着用户必须意识到一定程度的风险。在这两种情况下,如果应用程序是非官方的“增强功能”应用程序,即使它们在官方的谷歌Play商店中可用,这种风险也会大大增加。




推荐阅读

网站首页 |  关于天创 |  课程体系 |  最新动态 |  联系我们 |  网站地图 |  二维码
版权所有:江苏天创科技有限公司 苏ICP备16028135号-2
苏州总部地址:江苏省苏州市十梓街327号 电话:0512-65129087 传真:0512-65157410 邮编:215000
南京分公司地址:南京珠江路88号新世界中心A座 电话:025-84533276 传真:025-84533286 邮编:210000