IranIran Nieuws

Nieuwe golf cyberaanvallen: Na maatschappijactivisten nu regering en naastanden van Hassan Rohani onder vuur

FCNN Redactieapril 27, 2016
0 5 minuten leestijd

Een commandopost onder het Revolutionaire Gardecorps werft actief personeel in Teheran voor cyberaanvallen.

7 april 2016 — Bevindingen van de internationale campagne voor mensenrechten in Iran tonen aan dat na burgeractivisten en journalisten, die al lange tijd doelwit zijn van cyberaanvallen van het Revolutionaire Gardecorps van de Islamitische Republiek Iran, deze instelling nu ook aanvallen heeft uitgebreid naar ambtenaren van de regering-Rohani, inclusief personen dicht bij hem en kabinetsledenals. De regering-Rohani heeft tot nu toe openlijk geen kritiek geuit op deze aanvallen van het Revolutionaire Gardecorps.

Bij de laatste aanval kondigde Shahindokht Molaverdi, adjunct-minister voor vrouwenzaken en gezinsaangelegenheden in de regering-Rohani, op 1 april aan via posts op haar Twitter– en Telegramaccounts dat haar Gmail- en Facebook-accounts waren gehackt en verzocht ze haar contacten om niet te reageren op berichten die vanuit haar account werden gepubliceerd.

Hadi Ghayemi, directeur van de campagne voor internationale mensenrechten in Iran, zei hierover: “Schending van privacy door cyberaanvallen die jaren lang door autoritaire organen onder militaire instellingen op grote en georganiseerde schaal tegen journalisten en burgeractivisten zijn uitgevoerd, richten zich nu ook op ambtenaren van de regering-Rohani.” Hij voegde eraan toe: “Gezien de omvang van dergelijke aanvallen moeten de president en de autoriteiten van het Iraanse ministerie van Communicatie serieuze maatregelen nemen om deze aanvallen op te sporen en stop te zetten en een einde te maken aan de schending van burgerrechten op dit gebied.”

Naast mevrouw Molaverdi zijn in de afgelopen twee jaar hoge ambtenaren van de regering-Rohani, waaronder een adviseur dicht bij hem, een kabinetslid, een adjunct-minister van Buitenlandse Zaken en Seyyed Mohammad Ali Abtahi, voormalig adjunct-president ten tijde van Mohammad Khatami, doelwit geweest van aanvallen door deze hackers. Sommige van deze personen hebben de controle over hun accounts voor enige tijd of volledig verloren.

Deze aanvallen maken deel uit van een voortdurende tweejarige inspanning van krachten die het cyberleger worden genoemd en beveiligingsgroepen buiten de regering die gericht zijn op internetactiviteiten van regeringsambtenaren en hervormingsgezinde figuren, naast burgeractivisten en journalisten, zodat ze na het hacken niet alleen informatie gebruiken die ze verkrijgen, maar ook kettinggewijs mensen in de buurt van deze personen aanvallen.

De campagne is ook op de hoogte gesteld dat het Revolutionaire Gardecorps in het afgelopen jaar actief contact heeft opgenomen met netwerkbeveiligingsexperts in Iran en hen heeft uitgenodigd om samen te werken aan projecten met als hoofddoel het ontwerpen van cyberaanvallen via phishing-, malware- en trojaanse methodologieën, en hen zelfs heeft bedreigd.

Een IT-specialist die zelf werd uitgenodigd om met het Revolutionaire Gardecorps samen te werken, vertelde de campagne: “Deze commandopost beloofde voldoende salaris voor de inhuuring van deze mensen en in gevallen waarin deze specialisten weigerde om met deze instelling samen te werken, intimideerde deze instelling deze personen door hen te waarschuwen voor de gevolgen van niet met zichzelf samen te werken.”

In al deze gevallen, nadat hackers de controle over de accounts van politieke figuren hebben gekregen, hebben ze snel contact opgenomen met personen waarmee ze in contact stonden, vooral politici en journalisten, zelfs niet-Iraanse journalisten, zodat ze voordat het hacknieuws openbaar werd, ook andere personen in de val konden lokken en in zo kort mogelijke tijd het meeste voordeel uit het hacken van personen konden halen.

Onderzoeken van de campagne tonen ook aan dat het Iraanse cyberleger en beveiligingsinstellingen drie belangrijkste technieken voor dergelijke aanvallen hebben gebruikt. Deze technieken worden niet als geavanceerde methoden beschouwd, maar vanwege gebruikers die niet bekend zijn met basisbeginselen van accountbeveiliging, zijn deze aanvallen zeer effectief.

De belangrijkste methode en een van de oudste methoden die tegen gebruikers is gebruikt, zijn de zogenaamde social engineering-technieken. In deze methode verzenden de aanvaller of aanvallers een pagina die lijkt op een Gmail-inlogpagina en vragen de gebruiker om zijn gebruikersnaam en wachtwoord in te voeren voor toegang tot een bestand dat schijnbaar voor hen op Google Drive is gedeeld. Deze aanvallen staan bekend als phishing-aanvallen. Nadat ze hun gebruikersnaam en wachtwoord hebben ingevoerd, geeft de gebruiker in feite de controle over hun account aan de aanvaller.

Degenen die controle hadden over het Facebook-account van mevrouw Molaverdi hebben gebruikers via e-mail of Facebook-bericht gevraagd om een link te openen (afbeelding één) die gebruikers in feite naar een pagina leidde die eruitzag als een Gmail-inlogpagina. Sommige gebruikers hebben, nadat deze berichten waren verzonden, vanwege vertrouwen in de afzender en onwetendheid over het hacken van hun account en natuurlijk onbekendheid met dergelijke cyberaanvalsmsethoden, hun accountgegevens ingevoerd en onmiddellijk de controle over hun account verloren.

Verschillende personen die na het hacken van het account van mevrouw Molaverdi hun account voor uren kwijtraakten, vertelden de campagne dat ze, vanwege onwetendheid over het hacken en onachtzaamheid, in de veronderstelling dat ze met haar communiceerden, na een verzoek om een code die naar hun telefoon was verzonden door de gehackte account, deze hebben overgedragen en hun Telegram- en Facebook-accounts hebben verloren.” (afbeelding twee)

In de tweede methode, die veel werd gebruikt tijdens de verkiezingen van het tiende parlement, en als gevolg daarvan tientallen journalisten en politieke activisten de controle over hun accounts verloren, verzendt de aanvaller een PowerPoint-bestand en vraagt de gebruiker om de benodigde informatie uit dit bestand op te halen. Als voorbeeld: toen de Raad van Toezicht bezig was met het controleren van de geschiktheid van kandidaten voor de verkiezingen van het Iraanse parlement en de Vergadering van Deskundigen, werd na de afkeuring van Hassan Khomeini een PowerPoint-bestand naar een groot aantal journalisten verzonden met in de onderwerpregel van de e-mail: “Breaking nieuws: Hassan Khomeinii’s reactie op zijn disqualificatie.” (afbeelding drie)

Bij het openen van dit PowerPoint-bestand wordt malware op het apparaat van het slachtoffer geïnstalleerd. Deze malware verzendt de volledige computerinformatie van het slachtoffer naar de makers en zolang deze malware op de computer van het slachtoffer aanwezig is, blijft de controle in handen van de aanvallers, zelfs als wachtwoorden van accounts worden gewijzigd.

In de nieuwe versie van deze methode werd het PowerPoint-bestand dat malware bevat in een gecomprimeerd zipbestand geplaatst. Activisten en journalisten ontvingen e-mails met dit zipbestand dat naar verluidt de nieuwste foto’s van de zieke politieke gevangene Omid Kokabi bevatte. Het openen van het PowerPoint-bestand in het zipbestand activeerde de malware. Hackeraanvallen nemen meestal toe op momenten waarop bijzondere nieuwsberichten worden gepubliceerd, zodat hackers door deze belangstelling van gebruikers voor het bijzondere onderwerp kunnen profiteren om malware uit te breiden.

In sommige gevallen, als personen niet online waren, werden zij telefonisch benaderd en werd hun gevraagd om een belangrijk bestand dat zij hadden ontvangen te openen. Of ze werden gewaarschuwd dat hun e-mail was gehackt en snel hun wachtwoord moesten wijzigen, of in het geval van personen die verificatie in twee stappen voor hun accounts hadden ingeschakeld, werd hun om verschillende redenen gevraagd om de code die naar hun telefoon was verzonden telefonisch door te geven.

Een journalist die na het hacken van een van deze ambtenaren doelwit van hackers werd, vertelde de campagne: “Ik ontving een bericht op Google Chat van meneer… die me vroeg om een bestand te openen en omdat ik jaren niet met hem in contact was geweest, werd ik achterdochtig. Toen ik erop klikte, zag ik dat het een nepURL was en was ik er zeker van dat zijn e-mail was gehackt. Daarna ontving ik een telefoontje met een Londens nummer van iemand die klaagde waarom ik hem irrelevante e-mails stuurde. Ik kende hem helemaal niet en begreep niet waar hij over sprak. Toen ik mijn Gmail controleerde, zag ik een e-mail van Google die zei dat mensen mijn Gmail wilden hacken. Toen ik naar het e-mailadres keek, zag ik in plaats van google.com dat het qooqle.com was en dat was ook een poging om mijn account te hacken.”

In de derde methode, waar we in de afgelopen weken een toename van dit soort aanvallen op Iraanse gebruikers hebben gezien, veroorzaakt de aanvaller door een wachtwoordwijzigingsverzoek naar Facebook-, Gmail- en Telegram-accounts in te dienen dat een speciale code voor het wijzigen van het gebruikerswachtwoord per sms naar hun telefoonnummer wordt verzonden.

***

Phishing-Mowlaverdi-1
Afbeelding één: Degenen die controle hebben over het Facebook-account van Shahindokht Molaverdi vragen haar contacten om de phishing-aanvalslink te openen.

 

Picture 2
Afbeelding twee: Degenen die controle hadden over het account van mevrouw Molaverdi vroegen haar contacten om de inlogcode voor de Telegram-applicatie.

 

Hassan Khomeini
Afbeelding drie: Malware-aanval op gebruikers tijdens de verkiezingen van het tiende parlement.

Bron: Internationale campagne voor mensenrechten in Iran

FCNN Redactieapril 27, 2016
0 5 minuten leestijd

FCNN Redactie

Gerelateerde artikelen

Revolutionair tribunaal Teheran veroordeelt zeven politieke activisten tot gevangenisstraf

juli 10, 2020
علی خامنه‌ای

Ali Khamenei benoemt Mokhber tot interim-regeringsleider en roept vijf dagen nationale rouw uit

mei 20, 2024

Associated Press-rapport over resultaten Sharif-universiteitsonderzoek: Miljoen Iraniërs sterven mogelijk aan corona

maart 17, 2020

Hossein Salami, vakbondsactivist en leraar uit Mazanderan, gearresteerd

mei 30, 2019
Terug naar bovenkant pagina knop
Beschermd Door
Shield Security