这次攻击活动影响了100多人。微软表示,这些伪造的电子邮件是发给前政府官员、学者和政策制定者,目的是窃取密码和其他敏感数据。
根据Microsoft的威胁情报中心(MSTIC)的跟踪,该黑客组织是Phosphorus(又被称为CharmingKitten,APT35和MagicHound)。当被问及这次行动的目标是什么时,微软没有发表评论,
根据MSTIC对这些攻击活动的分析,猜测是网络间谍活动的一部分,旨在通过将受害者的邮箱内容和联系列表泄露,然后用于数据收集。该公司的客户安全和信任主管汤姆-伯特也表示,这些攻击是为了"情报收集目的"。攻击成功地损害了几名受害者,包括前大使和其他高级政策专家,他们帮助制定各自国家的全球议程和外交政策。
为了能够侵害受害者的电子邮件帐户,黑客在2020年2月至2020年10月之间就向“前政府官员,政策专家,学者和非政府组织领导人”发送伪造的电子邮件邀请。攻击者伪装成慕尼黑安全或Think20(T20)会议的组织者,然后向目标发送看不出破绽的英文版参会邀请邮件。在目标接受邀请后,攻击者会试图欺骗受害者在一个虚假的登录页面上输入他们的电子邮件密码。随后,攻击者再登录邮箱,窃取受害者的电子邮件和联系人。
该组织之前的黑客活动也曾试图窃取高知名度受害者的密码。由于伊朗驻纽约领事馆网站瘫痪,无法联系到伊朗领事馆发表评论。
值得一提的是,上个月,微软披露了另一针对今年美国总统大选的组织和个人的攻击活动。其中,就有Phosphorus的身影。当时,Phosphorus攻击了与特朗普竞选活动有关的多个个人账户。微软在2020年5月至6月间,发现了该组织试图登录特朗普竞选助手和美国政府官员的账户,但收效甚微。
去年,微软表示已经通知了超过1万名国家支持的黑客攻击的受害者,这些黑客包括包括Phosphorus和另一个伊朗支持的组织Holmium,也就是APT33。3月,这家科技巨头获得了一项法院命令,要求控制Phosphorus使用的域名,这些域名被用来使用虚假的谷歌和雅虎登录页面窃取凭证。
不过,伯特表示,这一次攻击与美国大选没有关系。微软透露,已经与会议组织者合作,并将继续警告他们的与会者,并将公开所看到的情况,以便每个人都能对这种攻击方法保持警惕。此外,微软也建议攻击着的目标用户尽快查看所有电子邮件转发规则,并找出成功破解其电子邮件帐户时可能设置的不适当规则。
慕尼黑安全会议是由非官方机构承办的高规格安全政策论坛,与会者多为各国国防官员以及安全领域的专家。随着全球化进程的发展,慕尼黑安全政策会议2002年以来逐渐演变为全球性质的安全政策研讨会。
T20,二十国集团智库峰会(summitofthethinktanksfromtheG20countries,Thinktank20)是G20重要外围会议之一,是全球智库代表为G20贡献智慧与思想的重要平台,并以其对历年G20的政策决定和实施的决定性影响力而备受瞩目。
