另一家大型科技公司似乎证实特朗普顾问罗杰·斯通被黑客攻击。

谷歌的威胁分析组周三确认，他们观察到一个由伊朗政府支持的威胁行为者正在针对与美国总统竞选相关的谷歌账户，同时对以色列目标的攻击也有所升级。

APT42与伊朗的伊斯兰革命卫队有关，威胁分析组（TAG）写道，“持续针对以色列和美国的高知名度用户。”该伊朗团体使用托管恶意软件、网络钓鱼页面、恶意重定向和其他策略来访问谷歌、Dropbox、OneDrive及其他基于云的账户。谷歌的TAG表示，他们已重置账户，向用户发出警告，并将与APT42的网络钓鱼尝试相关的域名列入黑名单。

APT42的工具中包括看似来自合法犹太活动家的请愿书的谷歌网站页面，呼吁以色列调解与哈马斯的持续冲突。该页面是由图像文件构成，而非HTML，当用户尝试签署请愿书时，ngrok重定向将他们送往网络钓鱼页面。据谷歌称，一份声称来自以色列犹太机构的请愿书寻求支持调解措施，但签名会悄悄重定向到网络钓鱼网站。

谷歌

在美国，谷歌的TAG指出，与2020年选举一样，APT42正在积极针对“约十位与拜登总统及特朗普前总统相关的个人”的个人邮件。TAG确认APT42“成功获取了一位高知名度政治顾问的个人Gmail账户”，这位顾问可能是长期的共和党活动家罗杰·斯通，《卫报》、《CNN》和《华盛顿邮报》等媒体均有报道。此外，微软上周单独指出，一位“特朗普竞选的前高级顾问”也遭到微软账户被盗，这一消息斯通也进行了确认。

“如今，TAG继续观察到APT42对与拜登总统、副总统哈里斯及前总统特朗普相关的个人账户进行未成功的攻击，包括现任和前任政府官员以及与竞选活动相关的个人，”谷歌的TAG写道。

PDF和网络钓鱼工具针对两党

谷歌的帖子详细描述了APT42如何针对两党成员的策略。其广泛策略是让目标离开电子邮件，转向Signal、Telegram或WhatsApp等渠道，或可能转向没有设置双因素认证和威胁监控的个人电子邮件地址。通过发送合法的PDF文件或引诱他们进行视频会议，APT42可以随后推送使用网络钓鱼工具的链接，从而以“无缝流动”的方式收集谷歌、Hotmail和Yahoo的凭证。

在获得立足点后，APT42通常会通过在账户内生成特定应用密码来维持其访问权限，这通常可以绕过多因素工具。谷歌指出，其高级保护计划旨在为高风险个体禁用这些措施。

《政治家》、《华盛顿邮报》和《纽约时报》等出版物报道称，曾收到特朗普竞选活动文件的提供，这可能源于伊朗的网络钓鱼行为，类似于2016年俄罗斯针对希拉里·克林顿竞选活动的情况。它们都没有发布与这些文件相关的报道。

谷歌旗下的网络安全公司Mandiant的John Hultquist告诉《连线》杂志的Andy Greenberg，最初看似伊朗的间谍活动或政治干预，可以轻易升级为破坏行为，而两党都是平等的目标。他还表示，当前对威胁向量的思考可能需要扩展。

“这不再仅仅是俄罗斯的问题。问题比这更广泛，”Hultquist说。“有多个团队在活动。我们必须关注所有这些团队。”