Хакеры иранских спецслужб нашли способ потрошить почтовые ящики Gmail и Microsoft
Эксперты
Google обнаружили инструмент под
названием Hyperscrape, который выкачивает все
содержимое из взломанных почтовых ящиков. Этим инструментом пользуется иранская
APT-группировка Charming Kitten.
Gmail и не только
Эксперты по информационной безопасности Google объявили, что иранская APT-группировка Charming Kitten использует новый инструмент для выкачивания всего содержимого почтовых ящиков в сервисах Gmail, Yahoo! и Microsoft Outlook.
Charming Kitten, она же APT35, считается главной кибершпионской группировкой, аффилированной со спецслужбами Ирана, в частности военной разведкой.
Как заявил Аякс Баш (Ajax Bash), представитель группы по анализу угроз Google (Google Threat Analysis Group), инструмент под названием Hyperscrape использовался в атаках не более двух десятков раз. Самый ранний сэмпл программы датирован 2020 г., и она до сих пор находится в активной разработке.
Использование Hyperscrape возможно только после первичной компрометации почтового аккаунта, то есть после того, как доступ к его содержимому уже получен.
Hyperscrape автоматически меняет язык интерфейса вскрытого ящика на английский, выкачивает все сообщения в виде отдельных файлов .eml, после чего маркирует все сообщения как непрочитанные и восстанавливает прежний язык интерфейса.

В одной из прошлых версий Hyperscrape существовала также возможность обращения к Google Takeout — функции, позволяющей выкачивать все данные из аккаунта Google в виде архивного файла.
Каким образом взламываются почтовые ящики, неизвестно. Злоумышленники использовали Hyperscrape, как уже сказано, в считанном количестве целевых атак. В Google отметили, что жертвы получили уведомления о том, что их атаковали предположительные сотрудники спецслужб, и что защита пострадавших аккаунтов была дополнительно усилена.
«По-видимому, Hyperscrape — это просто средство автоматизации вывода данных из почтовых ящиков, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Едва ли эту разработку можно считать сколько-то революционной, хотя она вполне может быть составной частью более масштабного комплекса для автоматизации атак и анализа похищенных данных».
Послужной список APT35
Charming Kitten довольно давно присутствует на радарах ИБ-специалистов по всему миру. Помимо взломов и распространения вредоносного ПО этой группировке приписывают, например, успешную «контрабанду» зараженного шпионским ПО VPN-приложения в Google Play Store, атаки на учебные учреждения в других странах (в частности, на Институт изучения стран Востока и Африки при Университете Лондона), атаки на предвыборный штаб экс-президента США Дональда Трампа (Donald Trump) и на руководителей американских фармацевтических компаний во время пандемии COVID-19.
В 2020 г. IBM X-Force, исследовательская группа в области промышленной кибербезопасности выявила слабо защищенный сервер, который принадлежал Charming Kitten. На нем обнаружились 40 ГБ информации, оставленной злоумышленниками. Эти данные позволили многое узнать о методах работы и целях группировки APT35, но не остановить ее.