Nowości

Hakerzy z Iranu przyłapani ze spuszczonymi spodniami na przechwyconych filmach

Flaga Islamskiej Republiki Iranu.
Powiększać / Flaga Islamskiej Republiki Iranu.

Irańskich hakerów państwowych przyłapano ostatnio ze spuszczonymi spodniami, kiedy naukowcy odkryli ponad 40 GB danych, w tym filmy szkoleniowe pokazujące, jak agenci włamują się na konta internetowe adwersarzy, a następnie zacieniają ich ślady.

Agenci należeli do ITG18, grupy hakerskiej, która pokrywa się z innym strojem znanym alternatywnie jako Charming Kitten i Phosphorous, który według naukowców działa również w imieniu irańskiego rządu. Stowarzyszenie od dawna jest skierowane do amerykańskich kampanii prezydenckich i urzędników rządowych USA. W ostatnich tygodniach ITG18 skierował się również do firm farmaceutycznych. Badacze na ogół uważają to za zdeterminowaną i wytrwałą grupę, która dużo inwestuje w nowe narzędzia i infrastrukturę.

W maju zespół ds. Bezpieczeństwa IBM X-Force IRIS uzyskał 40 GB pamięci podręcznej danych podczas przesyłania ich na serwer obsługujący wiele domen, o których wiadomo, że były używane na początku tego roku przez ITG18. Najbardziej wymowne były filmy szkoleniowe, które przedstawiają taktykę, techniki i procedury grupy, podczas gdy członkowie grupy dokonywali prawdziwych włamań do poczty elektronicznej i kont w mediach społecznościowych należących do przeciwników.

Materiał filmowy zawierał:

  • Prawie pięć godzin nagrań wideo pokazujących operatorów przeszukujących i wydobywających dane z wielu zainfekowanych kont należących do dwóch osób, jednej należącej do Marynarki Wojennej Stanów Zjednoczonych, a drugiej doświadczonego oficera marynarki wojennej Grecji.
  • Nieudane próby phishingu wymierzone w urzędników Departamentu Stanu USA i irańsko-amerykańskiego filantropa. Niepowodzenia były wynikiem odbijania się wiadomości e-mail, ponieważ wydawały się podejrzane.
  • Personas online i irańskie numery telefonów używane przez członków grupy.

Pozyskiwanie danych jest potencjalnym puczem wywiadowczym, ponieważ pozwala badaczom (i przypuszczalnie urzędnikom amerykańskim) zidentyfikować mocne i słabe strony przeciwnika, który stale ulepsza swój talent hakerski. Obrońcy mogą wtedy ulepszyć zabezpieczenia mające na celu powstrzymanie napastników. Widok z lotu ptaka mógł również zasygnalizować plany przyszłych operacji ITG18.

Rzadka okazja

„Rzadko istnieje możliwość zrozumienia, jak operator zachowuje się za klawiaturą, a jeszcze rzadsze są nagrania, które sam wykonał, pokazując ich operacje” – napisali Allison Wikoff i Richard Emerson, badacze IBM, w opublikowanym w czwartek poście. „Ale to jest dokładnie to, co X-Force IRIS odkrył na operatorze ITG18, którego awarie OPSEC zapewniają unikalne zakulisowe spojrzenie na ich metody i potencjalnie ich pracę w ramach szerszej operacji, która prawdopodobnie jest w toku”.

Filmy zostały nakręcone za pomocą narzędzia do nagrywania na komputerze o nazwie Bandicam i trwały od dwóch minut do dwóch godzin. Sygnatury czasowe wskazywały, że filmy zostały nagrane dzień lub dwa przed ich przesłaniem. Pięć z filmów pokazało operatorom wklejanie haseł na zagrożone konta, a następnie pokazanie, jak efektywnie wydobywać kontakty, zdjęcia i inne dane przechowywane tam oraz w powiązanym magazynie w chmurze.

Pulpit operatora ITG18 z nagrania Bandicam.
Powiększać / Pulpit operatora ITG18 z nagrania Bandicam.

IBM X-Force IRIS

Materiał filmowy pokazał również ustawienia, które członkowie grupy zmienili w konfiguracjach zabezpieczeń każdego z przejętych kont. Zmiany umożliwiły hakerom połączenie niektórych kont z Zimbra, programem współpracy e-mailowej, który może łączyć wiele kont w jeden interfejs. Korzystanie z Zimbra umożliwiło jednoczesne zarządzanie zhakowanymi kontami e-mail.

Zrzut obrazu operatora ITG18 synchronizującego konto persona z Zimbra.
Powiększać / Zrzut obrazu operatora ITG18 synchronizującego konto persona z Zimbra.

BM X-Force IRIS

Trzy inne filmy ujawniły, że operatorzy włamali się na kilka kont związanych z członkiem marynarki wojennej Stanów Zjednoczonych i oficerem marynarki greckiej. Członkowie ITG18 mieli poświadczenia do tego, co wygląda na ich osobiste konta e-mail i konta w mediach społecznościowych. W wielu przypadkach hakerzy usuwali wiadomości e-mail powiadamiające cele o podejrzanych logowaniach na ich konta.

Skrupulatny szczegół

Atakujący uzyskali również dostęp do plików pokazujących jednostki wojskowe, w których znajdował się personel marynarki wojennej, ich bazę morską, miejsce zamieszkania, osobiste zdjęcia i filmy oraz rejestry podatkowe. Operatorzy metodycznie przeczesywali inne konta celów, w tym konta na stronach z transmisją strumieniową wideo, dostawcami pizzy, agencjami sporządzającymi sprawozdania kredytowe, operatorami komórkowymi i nie tylko.

„Wydaje się, że operatorzy skrupulatnie zbierali trywialne informacje społeczne o osobach” – napisali badacze IBM. „W sumie operator podjął próbę zweryfikowania poświadczeń dla co najmniej 75 różnych witryn internetowych dla tych dwóch osób.

Inne filmy wyświetlały numer telefonu z Iranu i inne szczegóły profilu fałszywej osoby, którą członkowie ITG18 używali w swoich operacjach. Film ujawnił również próby wysłania wiadomości phishingowych do irańsko-amerykańskiego filantropa i dwóch możliwych urzędników Departamentu Stanu.

Kolejne potencjalnie przydatne odkrycie: kiedy operatorzy używali hasła, aby pomyślnie uzyskać wstępny dostęp do konta, które było chronione przez uwierzytelnianie wieloskładnikowe, nie kontynuowali. To sugeruje, że wcześniej ujawniona zdolność Charming Kitten do ominięcia uwierzytelniania wieloskładnikowego jest ograniczona.

Zakulisowe konto uzyskane przez IBM pokazuje obosieczny miecz, którym dzierżą szpiegowscy hakerzy. Podczas gdy ich działania często dostarczają przydatnych informacji na temat celów, cele mogą również to odwrócić Szpieg kontra Szpieg moda.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook