GreenCharlie: иранские хакеры проникают в сердце политики США

Команда Insikt Group зафиксировала значительное увеличение активности группы GreenCharlie, которая направлена на политические и правительственные структуры США. Деятельность группы пересекается с другой иранской группой APT42 и включает сложные фишинговые кампании для доставки бэкдоров GORBLE и POWERSTAR.

С июня 2024 года специалисты Insikt Group отслеживают инфраструктуру, связанную с GreenCharlie. Данная группа использует специально разработанные домены, зарегистрированные у поставщиков динамических DNS (DDNS), для осуществления своих фишинговых атак. Домены зачастую маскируются под легитимные сервисы облачного хранения, обмена файлами и визуализации документов, что позволяет группе получать доступ к конфиденциальной информации и распространять вредоносные файлы.

GreenCharlie ассоциируется с несколькими вредоносными программами, среди которых выделяются POWERSTAR (CharmPower, GorjolEcho) и GORBLE. Программы были разработаны для проведения шпионских операций через кампании целевого фишинга (spear phishing). По данным Mandiant, GORBLE и POWERSTAR представляют собой разные варианты одного семейства вредоносного ПО, используемого для получения несанкционированного доступа к данным и их последующей эксфильтрации.

Инфраструктура GreenCharlie использование динамических DNS позволяет хакерам быстро изменять IP-адреса и мешает отслеживанию деятельности. Также группа активно использует социальную инженерию, опираясь на актуальные события и политическую напряженность для заманивания жертв.

Insikt Group выявила несколько иранских IP-адресов, взаимодействующих с инфраструктурой GreenCharlie. Использование сервисов ProtonVPN и ProtonMail также указывает на попытки скрыть свою деятельность, что является типичной тактикой для иранских хакерских группировок.

Фишинговые атаки GreenCharlie носят целенаправленный характер, их цель — извлечение данных или установка GORBLE и POWERSTAR, которые разворачиваются в несколько этапов. После успешного фишинга бэкдоры устанавливают связь с C2-серверами для извлечения данных или загрузки дополнительных модулей.

Исследователи предполагают, что GreenCharlie проводит фишинговые атаки по заказу Корпуса стражей исламской революции (КСИР). Как отмечают специалисты, среди жертв GreenCharlie — аналитики в области исследований и политики, правительственные чиновники, дипломаты и стратегические цели высокой ценности. Хотя Insikt Group не удалось выявить прямые доказательства атак на официальных лиц правительства США и сотрудников политических кампаний, анализ открытых источников «позволил установить достоверную связь».

Специалисты Insikt Group отмечают, что иранские кибершпионы давно зарекомендовали себя как мастера ведения информационных кампаний, направленных на вмешательство в выборы США и влияние на внутреннюю политическую повестку. Такие операции продолжаются, преследуя цель поддержания или подрыва авторитетов кандидатов на выборах, влияния на поведение избирателей и создания раскола в обществе.