Los piratas informáticos del estado iraní fueron atrapados con los pantalones bajos en videos interceptados

La bandera de la República Islámica de Irán.
Acercarse / / La bandera de la República Islámica de Irán.

Los hackers estatales iraníes fueron descubiertos recientemente cuando los investigadores descubrieron más de 40 GB de datos, incluidos videos de entrenamiento que muestran cómo los operadores piratean las cuentas en línea de los oponentes y luego cubren sus huellas.

Los agentes pertenecían a ITG18, un grupo de hackers que se superpone con otro grupo conocido alternativamente como Charming Kitten and Phosphorous, que según los investigadores también trabaja en nombre del gobierno iraní. La afiliación se ha dirigido durante mucho tiempo a las campañas presidenciales de EE. UU. Y a los funcionarios del gobierno de EE. UU. En las últimas semanas, ITG18 también se ha dirigido a compañías farmacéuticas. Los investigadores generalmente lo consideran un grupo determinado y persistente que invierte fuertemente en nuevas herramientas e infraestructura.

En mayo, el equipo de seguridad de X-Force IRIS de IBM obtuvo el caché de datos de 40 GB mientras se cargaba en un servidor que alojaba múltiples dominios que ITG18 sabía que usaban a principios de este año. Los contenidos más significativos fueron los videos de entrenamiento que capturaron las tácticas, técnicas y procedimientos del grupo, mientras que los miembros del grupo realizaron hacks reales en cuentas de correo electrónico y redes sociales pertenecientes a los oponentes.

Incluido en el video fue:

  • Casi cinco horas de video que muestran a los operadores que buscan y extraen datos de múltiples cuentas comprometidas que pertenecen a dos personas, un miembro de la Marina de los Estados Unidos y el otro un oficial de personal experimentado en la Marina Helénica.
  • Intentos fallidos de phishing que atacaron a funcionarios del Departamento de Estado de EE. UU. Y a un filántropo iraní-estadounidense. Los errores fueron el resultado de rechazar correos electrónicos porque parecían sospechosos.
  • Personajes en línea y números de teléfono iraníes utilizados por los miembros del grupo.

La recopilación de datos es un posible golpe de inteligencia porque permite a los investigadores (y presumiblemente a los funcionarios estadounidenses) identificar las fortalezas y debilidades de un oponente que mejora constantemente su talento de hacker. Por lo tanto, los defensores pueden mejorar las protecciones diseñadas para mantener alejados a los atacantes. La vista superior también puede haber señalado planes para futuras operaciones de ITG18.

Una rara ocasión

«Raramente hay oportunidades para entender cómo se comporta el operador detrás del teclado, y aún más raramente todavía hay grabaciones producidas por el operador que muestran sus operaciones», escribieron investigadores de IBM Allison Wikoff y Richard Emerson en una publicación publicada. Jueves. «Pero esto es exactamente lo que IRIS X-Force ha descubierto acerca de un operador ITG18 cuyas fallas OPSEC proporcionan una visión única detrás de escena en sus métodos y potencialmente su trabajo preliminar para una operación más grande que probablemente esté en marcha». «.

Los videos fueron grabados usando una herramienta de grabación de escritorio llamada Bandicam y duraron de dos minutos a dos horas. Las marcas de tiempo indican que los videos se grabaron aproximadamente un día antes de que se subieran. Cinco de los videos mostraron a los operadores pegar contraseñas en cuentas comprometidas y luego demostrar cómo filtrar eficientemente contactos, fotos y otros datos almacenados allí y en el almacenamiento en la nube asociado.

Un operador de escritorio ITG18 de una grabación Bandicam.
Acercarse / / Un operador de escritorio ITG18 de una grabación Bandicam.

IBM X-Force IRIS

El video también mostró la configuración modificada por los miembros del grupo en las configuraciones de seguridad de cada cuenta comprometida. Los cambios permitieron a los piratas informáticos vincular algunas de las cuentas a Zimbra, un programa de colaboración por correo electrónico que puede agregar varias cuentas en una sola interfaz. El uso de Zimbra ha permitido administrar cuentas de correo electrónico comprometidas simultáneamente.

Una adquisición de imagen de un operador ITG18 que sincroniza una cuenta personal con Zimbra.
Acercarse / / Una adquisición de imagen de un operador ITG18 que sincroniza una cuenta personal con Zimbra.

BM X-Force IRIS

Tres videos más revelaron que los operadores habían comprometido varias cuentas asociadas con un miembro alistado de la Armada de los Estados Unidos y un oficial de la Armada Helénica. Los miembros de ITG18 tenían credenciales para lo que parecen ser sus cuentas personales de correo electrónico y redes sociales. En muchos casos, los hackers han eliminado correos electrónicos que notifican a los usuarios que se han registrado inicios de sesión sospechosos en sus cuentas.

Detalles escrupulosos

Los atacantes también tenían acceso a archivos que mostraban las unidades militares en las que se encontraba el personal de la Armada, su base naval, residencia, fotos y videos personales y documentos fiscales. Los operadores examinaron metódicamente otras cuentas objetivo, incluidas aquellas en sitios de transmisión de video, servicios de entrega de pizza, agencias de informes de crédito, operadores móviles y más.

«Parece que los operadores están recolectando meticulosamente información social trivial sobre individuos», escribieron investigadores de IBM. «En total, el operador intentó validar las credenciales de al menos 75 sitios web diferentes entre las dos personas.

Otros videos mostraron el número de teléfono con sede en Irán y otros detalles del perfil de un personaje falso utilizado por los miembros de ITG18 en sus operaciones. El video también reveló intentos de enviar correos electrónicos de phishing al filántropo iraní estadounidense y a dos posibles funcionarios del Departamento de Estado.

Otro hallazgo potencialmente útil: cuando los operadores usaron una contraseña para obtener con éxito el acceso inicial a una cuenta protegida por autenticación multifactor, no continuaron. Esto sugiere que la capacidad previamente revelada de Charming Kitten para eludir la autenticación multifactor es limitada.

La cuenta detrás de escena de IBM demuestra la espada de doble filo que están manejando los piratas informáticos de espionaje. Si bien sus operaciones a menudo proporcionan información útil sobre sus objetivos, los objetivos también pueden darles la vuelta Espiar contra espía Moda.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *