Шантаж, угрозы и психологическое давление: Lord Nemesis всеми силами старается запугать своих жертв
Как сценарий из дешёвого триллера стал реальностью для израильских IT-специалистов.
Иранская государственная группа хакеров , известная как «Lord Nemesis», не так давно провела кибератаку на израильскую компанию, разрабатывающую программное обеспечение для управления академическими учреждениями. По данным аналитиков, основной целью действий группы была не финансовая выгода, а простой хактивизм, направленный на запугивание израильских организаций.
В ноябре прошлого года хакеры проникли в систему компании Rashim Software, а затем использовали полученные учётные данные для доступа к сетям клиентов этой компании, включая многочисленные академические институты.
Это событие привлекло внимание израильских ИБ-компаний к деятельности иранских государственно поддерживаемых хакеров, особенно после начала военных действий в Газе в октябре 2023 года, учитывая поддержку Ираном палестинской группировки ХАМАС.
Аналитики из OP Innovate, исследовавшие инцидент , отмечают, что хакеры стремились максимизировать психологическое воздействие на своих жертв. Их методы включали тайное проникновение в сети, похищение данных и поэтапное распространение конфиденциальной информации в Интернете, включая личные фотографии и видео сотрудников.
Семейные материалы генерального директора взломанной компании
Дизайн веб-сайта «Lord Nemesis», изображающий зловещего тёмного лорда, также подчёркивает их стремление к театрализации своей активности.
Скриншот с веб-сайта группировки
«По прошествии десятков часов с момента официального объявления о взломе компании Rashim и их клиентов, у нас по-прежнему есть полный доступ к инфраструктуре, и мы можем отправить вам сообщение с официального электронного адреса компании», — похвастались хакеры в своей почтовой рассылке.
«Lord Nemesis» связывается исследователями с ранее идентифицированной группой «Nemesis Kitten» и входит в число нескольких группировок, поддерживаемых Тегераном, включая «Cobalt Mirage», «APT35» и «Charming Kitten», против которых США ввели санкции и предприняли юридические действия в 2022 году за связь с Корпусом стражей исламской революции Ирана.
Отчёт OP Innovate не раскрывает, каким образом хакеры впервые проникли в Rashim Software, но указывает на то, что злоумышленникам удалось обойти многофакторную аутентификацию через Office365, расширив свое присутствие до клиентов Rashim.
Хакеры продолжали «путешествовать» по взломанной сети до 4 марта, опубликовав в Интернете точное описание своей атаки, множество личных файлов сотрудников и писем-угроз, что является весьма необычным методом атаки для хактивистских групп. Эксперты считают, таким образом злоумышленники хотели показать свою власть и запугать представителей других израильских компаний.