Fitness-flirt mot försvarsföretag

En hackergrupp, sannolikt kopplad till Iran, använde en påhittad profil på Facebook och andra plattformar för att skapa relationer med anställda inom försvarsindustrin. Efter att relationerna etablerats försökte gruppen bland annat lura mottagarna att ta del av undersökningar som sedan infekterade deras enheter med skadlig kod.

Det visar en kartläggning från cybersäkerhetsföretaget Proofpoint. Den påhittade profilen Marcella ”Marcy” Flores framstod på Facebook som en fitnessinstruktör från Storbritannien. Men bakom kulisserna användes profilen för att bygga relationer med anställda inom försvarsindustrin.

Den falska profilen användes både för att skicka flörtiga e-postmeddelanden som påhittade undersökningar med skadlig programvara till mottagarna. Målet var att komma över känslig information och inloggningsuppgifter hos företag som var underleverantörer till större företag inom försvarsindustrin.

Påhittad kostundersökning
Under drygt åtta månader skickade den falska Facebookprofilen meddelanden, bilder och filmer för att bygga relationer med sina mottagare. När relationen upprättats skickade ”Marcella Flores” en påhittad kostundersökning till mottagarna. Undersökningen innehöll en skadlig programvara som av Proofpoint kallas LEMPO. Den har möjlighet att övervaka infekterade enheter och skicka information till avsändaren och därefter soppa igen spåren.

”Kan vara uthålliga”
– Attacken visar hur uthålliga dessa grupper kan vara i sina försök att komma över information. Den påhittade profilen har varit aktiv i relationsbyggande ända sedan 2019 och byggt relationer med till anställda hos underleverantörer till försvarsindustrin under lång tid, säger Sherrod DeGrippo, ansvarig för säkerhetsforskning på Proofpoint.

Hackergruppen TA456, ibland även kallad Tortoiseshell eller Imperial Kitten, tros vara kopplad till iranska revolutionsgardet via ett iranskt företag kallat Mahak Rayan Afraz. Facebook har nu tagit bort den påhittade profilen som användes i attacken.

Angrepp pågår ständigt
Enligt FRA pågår ständigt cyberangrepp av olika typer. De riktas mot allt som är kopplat till internet och alla som använder det. För att öka samhällets förmåga att motverka cyberangrepp har regeringen fattat beslutlänk till annan webbplats om att inrätta ett nationellt cybersäkerhetscenter. Uppdraget har gått till FRA, Försvarsmakten, MSB och Säkerhetspolisen.

Lämna ett svar

Din e-postadress kommer inte publiceras.