Купон на скидку: 2026
На первом этапе атаки хакеры связываются со своими целями, выдавая себя за известные контакты или техническую поддержку, и обманом заставляют их принять ссылку на вредоносный файл, который маскируется под легитимные приложения, такие как Telegram и WhatsApp. После установки вредоносного ПО, на втором этапе атаки происходит подключение зараженного устройства к ботам в Telegram, что позволяет хакерам удаленно управлять компьютером жертвы. Это дает возможность хакерам получить удаленный доступ к устройствам жертв для кражи файлов, создания скриншотов и записи звонков в Zoom, как сообщает ФБР. Использование Telegram для удаленного управления устройством жертвы — это распространенная техника среди хакеров, позволяющая скрывать вредоносную активность среди легитимного сетевого трафика, что затрудняет работу специалистов по кибербезопасности и антивирусных программ.
По данным ФБР, за этими атаками стоят хакеры, якобы работающие на Министерство разведки и безопасности Ирана (MOIS). ФБР заявило, что эти атаки являются примером попыток иранских правительственных хакеров продвигать "геополитическую повестку" режима. В предупреждении ФБР упоминается фейковая хактивистская группа Handala, поддерживающая Иран и Палестину, хотя неясно, были ли атаки, упомянутые в предупреждении, осуществлены этой группой. В начале этого месяца Handala взяла на себя ответственность за атаку на гиганта медицинских технологий Stryker, в результате которой были уничтожены десятки тысяч устройств сотрудников. В заявке 8-K, поданной в Комиссию по ценным бумагам и биржам США в понедельник, Stryker сообщила, что все еще восстанавливается после взлома.
На прошлой неделе Министерство юстиции США обвинило Handala в том, что она является прикрытием для иранского правительства, в частности MOIS, и стоит за взломом Stryker. В то же время ФБР закрыла и изъяла два веб-сайта, связанных с Handala, и два других сайта, связанных с другой иранской хактивистской группой под названием "Homeland Justice". В недавнем предупреждении ФБР бюро заявило, что обе группы связаны и контролируются MOIS. Представитель ФБР сообщил по электронной почте, что бюро "не имеет ничего добавить". Представитель Telegram Реми Вон заявил, что модераторы платформы "регулярно удаляют любые аккаунты, связанные с вредоносным ПО". Текст был обновлен, чтобы включить ответы ФБР и Telegram.