Mиа Аш е 30-годишна британка с две хуманитарни научни степени, успешна кариера като фотограф и приличен брой приятели - над 500 във Facebook и почти толкова в LinkedIn. Много от тези приятели обаче са мъже от Близкия Изток и когато тя публикува свенливи селфита във Facebook, те я обсипват с "лайкове". Статусът й в социалната мрежа, който показва дали е обвързана, е интригуващото: "It's complicated/Сложно е."
В действителност обаче Миа Аш просто не съществува.
Тя е персонаж с измислена биография, а снимките й са крадени от онлайн профилите на друга жена, установяват изследователи от компанията за сигурност SecureWorks. Те смятат, че Аш е създадена от подкрепяни от Иран хакери, които избират за свои цели десетки организации в Близкия Изток в огромна, продължаваща повече от година кампания за шпионаж и евентуално унищожение на данни.
През февруари, когато SecureWorks помагат на близкоизточна фирма да диагностицира опит за заразяване с шпионски софтуер, анализаторите от компанията откриват, че един от служителите на фирмата им си комуникира с Аш вече от повече от месец.
Разговорът започва в LinkedIn, където Аш се свързва с въпросния служител с въпроси на тема фотография. После диалогът им се пренася във Facebook, а темите обхващат все повече неща - работата му, страстта към снимането и пътешествията.
В крайна сметка Аш изпраща на служителя имейл с прикачен към него Microsoft Excel файл за фотографско проучване. Тя иска от него да го отвори в офисната си мрежа като му казва, че там проучването ще се получи най-добре.
След месец на изграждащи доверие разговори, служителят прави каквото Аш иска от него. Прикаченият файл бързо стартира зловреден макрос на неговия компютър и се опитва да инсталира шпионска програма, известна като PupyRAT. Защитите срещу зловреден софтуер на компанията все пак успяват да предотвратят инсталацията.
След допълнително проучване на Миа Аш, SecureWorks установяват, че хакерите изграждат образа й като примамка за служителите в компаниите-мишени от повече от година като крайната цел е заразяване на компютрите с шпионски софтуер и първоначално получаване на достъп до съответните фирмени мрежи.
Социалното инженерство или по-точно употребата на присъщи за човека лъжи и преструвки като начин да бъдат примамени жертвите да допуснат пробив в сигурността е отдавна известна практика в арсенала на хакерите.
"Рядко обаче хакерските групи си правят труда да изграждат толкова дълго съществуващ, почти жив персонаж като Миа Аш", коментира Алисън Уикоф, един от изследователите на SecureWorks и ръководител на анализите им, които те представиха на конференцията за сигурност Black Hat.
Тя сочи добре социализираните акаунти на Аш във Facebook, LinkedIn, Blogger и WhatsApp, както и два имейл адреса като доказателство за настойчивостта и старателното планиране от страна на хакерите. "Това е един от най-добре изградените фалшиви персонажи онлайн, които съм виждала" казва Уикоф. "И той определено е проработил и е работил успешно повече от година".
Фалшив приятел
При проучване на приятелите на Аш във Facebook и Linkedin, SecureWorks установяват, че тя има два ясно разграничени кръга от контакти. Първо изглежда се сприятелява с видни фотографи, за да утвърди профила си като истински любител на фотографията.
Втората група е съставена от мъже между 20 и 40 години, предимно от близкоизточен и азиатски произход, включително от Саудитска Арабия, Ирак, Иран и Израел, както и някои американци, които са работили основно като технически специалисти от среден клас, софтуерни разработчици и администратори в технологичния, петролния и газовия бранш, аерокосмически, консултантски и здравни компании.
При анализа на списъка с потенциални мишени сред приятелите на Аш, SecureWorks я свързват с хакерска група, известна като OilRig или Cobalt Gypsy, за която се счита от мнозина, че работи за иранското правителство в мащабна кампания за кибершпионаж.
Според поне един анализ от McAfee, тази група също така сътрудничи за още по-разрушителна кампания за проникване на унищожаващия данни зловреден софтуер Shamoon в мрежите на повече от дузина саудитски мишени. Анализът от SecureWorks на методите на групата също така съответства и на описанието на разпращащите Shamoon хакери, проследени от IBM.
В края на 2016 SecureWorks забелязват как тази група стартира мащабна кампания за фишинг, използваща освен всичко друго и PupyRAT. Месец по-късно Миа Аш се е задействала в компанията, с която са работили SecureWorks.
Уикоф твърди, че това доказва, че персонажът на Аш е използван като вторична тактика: ако служителят на определена компания не клъвне на по-традиционни фишинг имейли, персонаж като Аш се свързва с конкретна мишена, стартира професионален разговор в LinkedIn, след което изгражда доверие чрез Facebook или WhatsApp.
Накрая той изпраща на жертвата зловреден софтуер по имейла. На база на времето, вложено в изграждането на образа на Аш, според анализаторите тя е била използвана многократно срещу мишени на ирански хакери. "Това изглежда като добре смазана работеща машина" предупреждава Уикоф.
Внезапно изчезване в небитието
След повече от година присъствие онлайн, по-рано този месец LinkedIn профилът на Аш мистериозно изчезва. SecureWorks информират Facebook за фалшивия й профил и компанията го премахва и в тази социална мрежа.
SecureWorks са идентифицирали съществуващата жена, чиито снимки хакерите са използвали за изграждане на профилите на Аш. Когато обаче медии се свързват с нея, тя отказва официален коментар и моли да не бъде идентифицирана.
Уикоф изтъква нейния случай като доказателство как публичното споделяне на лични снимки може да има неочаквани и плашещи последици. "Ако не защитавате подобаващо акаунтите си в социалните мрежи от достъп на непознати, те могат да бъдат използвани по начини, които не е задължително директно да навредят на вас, но все пак са престъпни" казва тя.
Миа Аш обаче дава и по-сериозна поука за потенциалните жертви на подкрепяните от правителства хакери, обобщава Уикоф: дигиталните клопки могат да бъдат изключително комплексни, с персони и образи, които имат дълга история и убедителни лични детайли. Така че привлекателната ви нова приятелка във Facebook може и да не се интересува всъщност от снимките от почивката ви...
