Βάσει της ειδοποίησης, οι επιθέσεις πραγματοποιούνται σε δύο βασικά στάδια. Αρχικά, οι δράστες προσεγγίζουν τα θύματά τους προσποιούμενοι γνωστές επαφές ή υπηρεσίες τεχνικής υποστήριξης. Μέσω αυτής της μεθόδου κοινωνικής μηχανικής, πείθουν τους στόχους να ανοίξουν έναν σύνδεσμο που οδηγεί σε κακόβουλο αρχείο, το οποίο εμφανίζεται ως νόμιμη εφαρμογή, όπως το Telegram ή το WhatsApp.
Αφού εγκατασταθεί το κακόβουλο λογισμικό, ενεργοποιείται το δεύτερο στάδιο της επίθεσης. Η μολυσμένη συσκευή συνδέεται με ειδικά bots στο Telegram, επιτρέποντας στους χάκερ να αποκτήσουν απομακρυσμένο έλεγχο. Με αυτόν τον τρόπο μπορούν να υποκλέπτουν αρχεία, να καταγράφουν δραστηριότητες, να λαμβάνουν στιγμιότυπα οθόνης και ακόμη και να παρακολουθούν συνομιλίες μέσω πλατφορμών όπως το Zoom.
Η χρήση του Telegram ως εργαλείου διοίκησης και ελέγχου δεν είναι τυχαία. Αποτελεί μια διαδεδομένη τακτική που επιτρέπει στους επιτιθέμενους να «κρύβουν» την κακόβουλη δραστηριότητα μέσα στη φυσιολογική διαδικτυακή κίνηση, καθιστώντας τον εντοπισμό της ιδιαίτερα δύσκολο για συστήματα κυβερνοασφάλειας.
Το FBI αποδίδει τις επιθέσεις σε χάκερ που συνδέονται με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS), υποστηρίζοντας ότι εντάσσονται σε μια ευρύτερη προσπάθεια προώθησης της γεωπολιτικής ατζέντας της Τεχεράνης. Στην ίδια ειδοποίηση γίνεται αναφορά και στην ομάδα «Handala», η οποία εμφανίζεται ως χακτιβιστική, αν και οι αμερικανικές αρχές τη θεωρούν βιτρίνα του ιρανικού κράτους.
Η Handala έχει συνδεθεί με πρόσφατες επιθέσεις, μεταξύ των οποίων και εκείνη κατά της εταιρείας ιατρικής τεχνολογίας Stryker, που οδήγησε σε απώλεια δεδομένων και συσκευών εργαζομένων.
Παράλληλα, οι αρχές των ΗΠΑ έχουν κινηθεί νομικά, ενώ το FBI προχώρησε και στην κατάσχεση ιστοσελίδων που σχετίζονταν με την ομάδα, καθώς και με την οργάνωση «Homeland Justice», η οποία φέρεται να συνδέεται επίσης με το MOIS.
Από την πλευρά του, εκπρόσωπος του Telegram ανέφερε ότι η πλατφόρμα λαμβάνει μέτρα κατά της κατάχρησης, επισημαίνοντας ότι αφαιρούνται συστηματικά λογαριασμοί που εμπλέκονται σε κακόβουλες δραστηριότητες.
Ωστόσο, η προειδοποίηση των αμερικανικών αρχών αναδεικνύει τις αυξανόμενες προκλήσεις στον τομέα της κυβερνοασφάλειας και τον τρόπο με τον οποίο κρατικά υποστηριζόμενες ομάδες αξιοποιούν δημοφιλείς εφαρμογές για επιθέσεις υψηλής στόχευσης.
