Μία κυβερνοαπειλή υπό την κωδική ονομασία «Newscaster», η οποία πιστεύεται ότι προέρχεται από το Ιράν, επισημαίνει αναφορά της iSIGHT Partners, εταιρείας με έδρα το Ντάλας που δραστηριοποιείται στον χώρο του cyber intelligence.
Όπως αναφέρεται σχετικά, το Newscaster φαίνεται να στοχεύει τον δημόσιο και τον ιδιωτικό τομέα στις ΗΠΑ, το Ισραήλ, τη Μ.Βρετανία και άλλες χώρες μέσω των μέσων κοινωνικής δικτύωσης.
«Η iSIGHT Partners πιστεύει ότι ιρανοί πράκτορες χρησιμοποιούν πάνω από μία ντουζίνα ψεύτικες περσόνες σε ιστοσελίδες κοινωνικής δικτύωσης (Facebook, Twitter, LinkedIn, Google+, YouTube, Blogger) σε μία συντονισμένη, μακροπρόθεσμη εκστρατεία κυβερνοκατασκοπείας. Τουλάχιστον 2.000 άτομα/ στόχοι έχουν πιαστεί στο ʽδίχτυʼ και συνδέονται με τις ψεύτικες περσόνες» αναφέρεται στη σχετική ανακοίνωση.
Η εκστρατεία φέρεται να ξεκίνησε το 2011 και έκτοτε να βρίσκεται σε εξέλιξη χωρίς να έχει γίνει αντιληπτή. Μεταξύ των στόχων περιλαμβάνονται άτομα του διπλωματικού και στρατιωτικού προσωπικού των ΗΠΑ, προσωπικό του Κογκρέσου, δημοσιογράφοι της Ουάσιγκτον, αμερικανικά think tanks, εταιρείες του χώρου της άμυνας σε ΗΠΑ και Ισραήλ και άτομα που δηλώνουν εμφανώς υποστηρικτές του Ισραήλ. Σκοπός είναι η συγκαλυμμένη απόκτηση στοιχείων πρόσβασης (log-in credentials) στα συστήματα email των στόχων. Επίσης, όπως αναφέρεται, έχουν στοχευθεί και άτομα στη Μ.Βρετανία, τη Σ.Αραβία και το Ιράκ.
Οι ψευδείς αυτές περσόνες ισχυρίζονται ότι εργάζονται για δημοσιογραφικούς οργανισμούς, κυβερνητικούς φορείς και εταιρείες του χώρου της άμυνας. Τα εν λόγω προφίλ είναι εξαιρετικά λεπτομερή και χαρακτηρίζονται από τεχνητή «αξιοπιστία», η οποία έχει δημιουργηθεί μέσω πρακτικών που περιλαμβάνουν και τη δημιουργία ενός ψεύτικου δημοσιογραφικού site, newsonair.org, που αντιγράφει ειδησεογραφικό υλικό από κανονικά ΜΜΕ.
Αυτές οι περσόνες έχουν συνδεθεί/ «ακολουθήσει»/ κάνει «φίλους» τους στόχους τους, αποκτώντας έτσι πρόσβαση σε πληροφορίες περί τοποθεσίας, δραστηριοτήτων και σχέσεών τους, χάρη στα updates και το υλικό που αυτοί ανεβάζουν. Επίσης, λογαριασμοί έχουν στοχευθεί με μηνύματα spear-phishing, με φαινομενικά «νόμιμα» links, τα οποία οδηγούν σε σελίδες- «παγίδες», όπου και υποκλέπτονται δεδομένα. Μέχρι τώρα δεν έχει γίνει γνωστό τι όγκος στοιχείων έχει αποκτηθεί με αυτόν τον τρόπο. Επιπλέον, η εκστρατεία αυτή συνδέεται και με τη χρήση κακόβουλου λογισμικού (malware), το οποίο αν και δεν χαρακτηρίζεται ως ιδιαίτερα εξελιγμένο μπορεί να χρησιμοποιηθεί για εξαγωγή δεδομένων.
Στην αναφορά γίνονται τρεις διαπιστώσεις: α) ότι τα social media αποτελούν έναν αποτελεσματικό και συγκαλυμμένο τρόπο στόχευσης της ηγεσίας κυβερνήσεων και εταιρειών μέσω μίας «τρίτης» πλατφόρμας, πιθανώς εκτός των υπαρχόντων μέτρων ασφαλείας β) ιρανοί πράκτορες ενδεχομένως να χρησιμοποίησαν προσβάσεις που απέκτησαν στο πλαίσιο της εκστρατείας αυτής για να υποστηρίξουν την ανάπτυξη οπλικών συστημάτων, να πάρουν πληροφορίες για τις αμερικανικές ένοπλες δυνάμεις και τη συνεργασία των ΗΠΑ με το Ισραήλ και πιθανώς να αποκτήσουν πλεονεκτήματα στις διαπραγματεύσεις μεταξύ του Ιράν και των ΗΠΑ. Επίσης, είναι πιθανόν οι πληροφορίες αυτές να χρησιμοποιηθούν «αναγνωριστικά» για επιβλαβή δραστηριότητα γ) παρατηρείται αύξηση των δυνατοτήτων τέτοιου είδους «αντιπάλων» σε αυτούς τους τομείς, ακόμα και αν δεν χαρακτηρίζονται από ιδιαίτερη πολυπλοκότητα. Η επιτυχία του Newscaster θεωρείται ότι οφείλεται σε μεγάλο βαθμό στην «υπομονή, την ριψοκίνδυνη φύση και την καινοτόμα χρήση πολλαπλών πλατφορμών κοινωνικής δικτύωσης».
Η iSight Partners θεωρεί ότι πίσω από την επιχείρηση βρίσκεται το Ιράν λόγω μοτίβων που παρατηρήθηκαν όσον αφορά στο timing της δραστηριότητας του Newscaster, τα οποία αντιστοιχούν στις εργάσιμες ώρες στην Τεχεράνη. Επίσης, οι πράκτορες φαίνεται να δουλεύουν μόνο τη μισή ημέρα την Πέμπτη και σπάνια την Παρασκευή, δηλαδή κατά το ιρανικό «σαββατοκύριακο». Αυτά, σε συνδυασμό με άλλα στοιχεία, όπως η φύση των στόχων και κάποιες τεχνικές ενδείξεις, οδήγησαν την εταιρεία στην εκτίμηση ότι «πηγή» του Newscaster είναι το Ιράν.
Αν και δεν έχει γίνει ακόμα γνωστό πώς χρησιμοποιούνται οι πληροφορίες που έχουν αποκτηθεί μέσω της επιχείρησης,, θεωρείται ότι έμφαση δίνεται σε θέματα αμυντικής τεχνολογίας και στρατιωτικής/ διπλωματικής φύσης, ενώ παραμένει πιθανό το ενδεχόμενο τα στοιχεία αυτά να χρησιμοποιηθούν και για να εκθέσουν αυτούς που στοχεύθηκαν (ωστόσο δεν έχουν εντοπιστεί ακόμα στοιχεία για κάτι τέτοιο). Σε γενικές γραμμές θεωρείται ότι οι αυτουργοί του Newscaster επιδιώκουν να αποκτήσουν «πληροφοριακό πλεονέκτημα» σχετικά με αντίπαλες ένοπλες δυνάμεις, αμυντικές βιομηχανίες, διπλωμάτες κ.α.
Η δραστηριότητα αυτού του είδους δεν φαίνεται να είναι τόσο σπάνια στα κοινωνικά δίκτυα, καθώς η εταιρεία επισημαίνει ότι στο παρελθόν έχει εντοπίσει εκστρατείες κυβερνοκατασκοπείας που προέρχονται από την Κίνα. Ωστόσο, είναι η πρώτη φορά που γίνεται αντιληπτή μία εκστρατεία τέτοιας έκτασης, σε τόσες πολλές πλατφόρμες. «Το Newscaster είναι άνευ προηγουμένου όσον αφορά στην πολυπλοκότητα, την έκταση και τη διάρκειά του» τονίζεται στην αναφορά.
Όπως αναφέρεται σε δημοσίευμα του BBC, το Facebook υποστήριξε ότι εντόπισε ανεξάρτητα τα ψεύτικα accounts στο πλαίσιο των τακτικών ελέγχων του. Το LinkedIn αναφέρει ότι διερευνά την υπόθεση, ωστόσο τα επίμαχα accounts δεν φαίνονται ενεργά αυτή τη στιγμή. Δεν έχουν υπάρξει μέχρι τώρα σχόλια από πλευράς του Twitter.