チェックポイント社は、マルウェアにハードコードされた認証情報を使用してイランのハッキング集団とされる無能な集団のサーバーを急襲し、そのアクセスを利用して容疑者のメンバーの名前を明かした。
Rocket Kitten グループは 2014 年 9 月に明らかにされ、その後 3 月にさらに詳細が明らかになりましたが、執拗で成功率が高いものの洗練されていないフィッシング メールで中東全域の組織を標的にしていました。
CheckPoint 社は最新のレポート (pdf) でこの争いに加わり、同グループのひどく貧弱な運用セキュリティに穴を見つけ、少なくとも 2 人のメンバーの正体と思われる人物を突き止めようとしている。
攻撃者の特定は面倒で危険な作業だが、Rocket Kitten の重大な運用上のセキュリティの失敗により、匿名の Check Point 研究者はハッカーの別名と名前を結び付ける十分な証拠を得た。コマンド アンド コントロールの認証情報はマルウェアにハードコードされており、VX 攻撃者は自分のマシンから感染を除去できなかった。
「…SQLi の説明ビデオで、運用上のセキュリティ上の重大なミスを発見しました。これはまさに、私たちが探していた決定的な証拠でした…[ハッカー] は、秘密の別名でログインして公開チュートリアルを行っているところを捕まりました。それ以外の点では、彼の本当の身元とは結び付けられていません。」
「盗まれたデータを含む多数のキーストロークファイルを記録し、驚くべき発見がありました。Rocket Kittenの攻撃者は、どうやら「テスト実行」として、自らのワークステーションを感染させ、これらのファイルをコマンドアンドコントロールサーバーから削除しなかったのです。これは、運用上のセキュリティが全く欠如していることを改めて証明しています。」
「それだけでは不十分だったかのように、我々は[攻撃者の1人]の最新の履歴書も入手することができました。」
チェックポイントの専門家は、このクルーはテヘランによってスクリプトキディによるウェブ改ざん活動から引き抜かれ、「自国のために」標的型スパイ活動に採用されたと考えている。
チェック・ポイント社がさらに劣悪な運用セキュリティを通じて入手した攻撃者の一人の履歴書によると、その人物はテヘラン向けのマルウェアを開発したという。
Rocket Kitten は集団的な調査に基づいて行為者に関する情報や外交政策および防衛に関する情報を探しており、現金を求めているわけではないようです。
乗っ取られた Rocket Kitten ポータル。
標的の4人に1人は、Rocket Kittenのフィッシングページで認証情報を入力します。被害者には、イスラエルの核科学者や物理学者、元軍人、サウジアラビアの学者、NATOの地域拠点、そして様々なメディアが含まれます。被害者を狙った「プロジェクト」と呼ばれる数百ものキャンペーンが展開されています。
トレンドマイクロとクリアスカイの研究者自身も、今年後半にフェイスブックのメッセージを通じてマルウェアを開かせようとしたグループの標的となった。
それ以来、ハッキンググループは ClearSky の名前を堂々と利用し、セキュリティ企業を装って Rocket Kitten アラートをターゲットに送信し、実際にはマシンに感染する検出ツールを添付しました。®
