Access Now, Lookout və SMEX təşkilatlarının birgə araşdırmasına görə, Hindistan hökuməti ilə əlaqəli olduğu ehtimal edilən muzdlu haker qrupu Yaxın Şərq və Şimali Afrika (MENA) regionunda jurnalistləri, fəalları və dövlət rəsmilərini hədəfə alıb. Hədəflər arasında Misir hökumətinin tanınmış tənqidçiləri Mostafa Al-A'sar və Ahmed Eltantawy də var. 2023-cü ilin oktyabr və 2024-cü ilin yanvar aylarında baş tutan bu kiberhücumlar istifadəçilərin "Apple" və "Google" hesablarını ələ keçirmək məqsədi daşıyıb. Hakerlər qurbanları saxta səhifələrə yönləndirərək giriş məlumatlarını və ikimərhələli təsdiqləmə (2FA) kodlarını daxil etməyə məcbur ediblər.
Kampaniya çərçivəsində 2025-ci ilin may ayında anonim livanlı jurnalist də hədəf alınıb. O, "Apple Messages" və "WhatsApp" tətbiqləri vasitəsilə zərərli keçidlər ehtiva edən fişinq mesajları alıb. SMEX təşkilatının məlumatına görə, hakerlər özlərini "Apple Support" xidməti kimi təqdim edərək istifadəçiləri aldatmağa çalışıblar. Əsas hədəf "Apple" xidmətləri olsa da, sübutlar "Telegram" və "Signal" kimi digər mesajlaşma platformalarının da hücuma məruz qaldığını göstərir.
Hücumlar necə həyata keçirilib?
Mostafa Al-A'sar-ın "Google" hesabını ələ keçirmək üçün edilən hücum "LinkedIn" üzərindən "Haifa Kareem" adlı saxta profildən gələn iş təklifi ilə başlayıb. Jurnalist əlaqə məlumatlarını paylaşdıqdan sonra, 24 yanvar 2024-cü ildə ona "Zoom" görüşünə qoşulmaq üçün zərərli keçid göndərilib. Bu hücum adi fişinqdən fərqli olaraq, "Google"-un OAuth 2.0 sistemindən istifadə edərək "en-account.info" adlı zərərli veb-tətbiqə icazə verilməsini tələb edib. Access Now bildirir ki, hakerlər qurbanları aldatmaq üçün qanuni "Google" resurslarından sui-istifadə ediblər.
Fişinq hücumlarında istifadə olunan bəzi domenlər xüsusi diqqət çəkir. Slovakiya mənşəli ESET şirkətinin 2025-ci ilin oktyabrında sənədləşdirdiyi rapora görə, bu domenlər BƏƏ-dəki hədəflərə "ProSpy" və "ToSpy" casus proqramlarını yaymaq üçün istifadə edilib. Zərərli proqramlar "Signal" üçün mövcud olmayan şifrələmə plagini kimi təqdim olunub. Casus proqram kontaktlar, SMS mesajları, cihaz metadatası və yerli fayllar kimi həssas məlumatları oğurlamaq qabiliyyətinə malikdir.
"Bitter" qruplaşması ilə əlaqələr nədən ibarətdir?
Misirli jurnalistlərin hesablarına giriş cəhdləri uğursuz olsa da, 19 may 2025-ci ildə livanlı jurnalistin "Apple" hesabı tamamilə ələ keçirilib. Lookout şirkətinin analizinə əsasən, bu kampaniya Hindistan hökumətinin maraqları naminə kəşfiyyat məlumatları toplayan "Bitter" qruplaşması ilə əlaqəli muzdlu haker əməliyyatıdır. 2022-ci ildən bəri aktiv olan bu casusluq kampaniyası Bəhreyn, BƏƏ, Səudiyyə Ərəbistanı, Böyük Britaniya, Misir və ABŞ-dakı hədəfləri əhatə edir.
Kampaniyanın "Bitter" ilə əlaqəsi "com-ae[.]net" və "youtubepremiumapp[.]com" domenləri arasındakı infrastruktur bənzərliklərindən qaynaqlanır. İkinci domen 2022-ci ilin avqustunda Cyble və Meta tərəfindən "Dracarys" adlı Android zərərli proqramını yaymaqda istifadə edildiyi üçün qeydə alınıb. Lookout mütəxəssisləri "Dracarys" və "ProSpy" arasında kod məntiqi və idarəetmə serveri əmrləri baxımından ciddi oxşarlıqlar aşkar ediblər. Şirkət əlavə edir ki, mobil zərərli proqramlar vətəndaş cəmiyyətini izləmək üçün əsas vasitə olaraq qalmaqdadır.
