Check Point Research en un comunicado, abordó el ataque, donde referencian que se empleó una amplia gama de cuentas de correo falsas para hacerse pasar por partes de confianzatomar el control de las cuentas de los objetivos, robar información y utilizarlas para atacar nuevos objetivos.

Según Check Point Research, tras su preliminar análisis, comentan que el ataque fue perpetrado por Phosphorus, un grupo de ciberdelincuentes iraní con un largo historial de operaciones de alto perfil alineadas con los intereses de Teherán.

Estos, dirigieron recientemente una operación de spear-phising contra objetivos israelíes de alto rango, entre ellos la Ex-ministra de Asuntos Exteriores Tzipi Livni y un Ex-Embajador de EEUU en el Estado judío.

Por otra parte, Check Point, no nombró a los objetivos para proteger la privacidad de estos, a excepción de Livni, que dio su consentimiento para que se publicara.

Entre la lista de objetivos se incluía a un conocido Ex General de división de las Fuerzas de Defensa de Israel que ocupaba un «puesto muy sensible». Por otra parte también se encontraba el actual presidente de uno de los principales grupos de reflexión sobre seguridad de Israel. El expresidente de un conocido centro de investigación sobre Oriente Medio y un alto ejecutivo de la industria de defensa israelí.

Según el comunicado, el ataque se realizó con una una toma de posesión de cuentas en las bandejas de entrada de algunas víctimas. Posteriormente secuestraron conversaciones de correo electrónico existentes para iniciar los ataques a partir de una conversación de correo electrónico ya existente entre un objetivo y una parte de confianza y continuar esa conversación de esa manera.

Por otro lado desarrollaron un sitio web acortador de URL falso para enmascarar los enlaces de Phising. Y utilizaron un servicio legítimo de verificación de identidad, (validation.com) para el robo de documentos de identidad.

Check Point remarcó que la campaña tenía varias características e indicadores que reflejaban que estaba dirigida por una entidad respaldada por Irán. Incluida una página de inicio de sesión de Yahoo falsa copiada desde una dirección IP iraní, y una sección de código comentada que indica que también puede haber sido utilizada en un ataque anterior por Phosphorus.

fuente:unaaldia