More

    Hackers estatais iranianos pegam as calças em vídeos interceptados


    Prolongar / A bandeira da República Islâmica do Irã.

    Os hackers estatais iranianos foram pegos de surpresa recentemente quando os pesquisadores descobriram mais de 40 GB de dados, incluindo vídeos de treinamento mostrando como os operadores cortam as contas on-line dos adversários e depois encobrem seus rastros.

    Os agentes pertenciam ao ITG18, um grupo de hackers que se sobrepõe a outro equipamento conhecido como Gatinho Encantador e Fósforo, que os pesquisadores acreditam que também trabalha em nome do governo iraniano. A afiliação tem como alvo campanhas presidenciais dos EUA e funcionários do governo dos EUA. Nas últimas semanas, o ITG18 também visou empresas farmacêuticas. Os pesquisadores geralmente consideram um grupo determinado e persistente que investe fortemente em novas ferramentas e infraestrutura.

    Em maio, a equipe de segurança X-Force IRIS da IBM obteve o cache de 40 GB de dados enquanto estava sendo carregado em um servidor que hospedava vários domínios conhecidos por serem usados ​​no início deste ano pelo ITG18. O conteúdo mais revelador foram os vídeos de treinamento que capturaram as táticas, técnicas e procedimentos do grupo, enquanto os membros do grupo realizavam hacks reais em contas de email e mídias sociais pertencentes a adversários.

    Incluído na filmagem estava:

    • Quase cinco horas de vídeo mostrando operadores pesquisando e exfiltrando dados de várias contas comprometidas pertencentes a duas pessoas, uma membro da Marinha dos EUA e a outra um oficial experiente na Marinha Helênica.
    • Falhas nas tentativas de phishing que visavam funcionários do Departamento de Estado dos EUA e um filantropo iraniano-americano. As falhas foram resultado de emails devolvidos porque pareciam suspeitos.
    • Personas online e números de telefone iranianos usados ​​por membros do grupo.

    A coleta de dados é um golpe de inteligência em potencial porque permite que pesquisadores (e provavelmente autoridades dos EUA) identifiquem os pontos fortes e fracos de um adversário que está melhorando constantemente seu talento para hackers. Os defensores podem melhorar as proteções projetadas para manter os atacantes afastados. A visão panorâmica também pode ter sinalizado planos para futuras operações do ITG18.

    Uma rara oportunidade

    “Raramente existem oportunidades para entender como o operador se comporta atrás do teclado, e ainda mais raras ainda existem gravações que o operador produziu mostrando suas operações”, escreveram os pesquisadores da IBM Allison Wikoff e Richard Emerson em um post publicado quinta-feira. “Mas foi exatamente isso que o X-Force IRIS descobriu em um operador ITG18 cujas falhas no OPSEC fornecem uma visão única dos bastidores de seus métodos e, potencialmente, seu trabalho para uma operação mais ampla que provavelmente está em andamento”.

    Os vídeos foram gravados usando uma ferramenta de gravação de desktop chamada Bandicam e variaram de dois minutos a duas horas. Os carimbos de hora indicavam que os vídeos foram gravados um dia ou mais antes de serem enviados. Cinco dos vídeos mostraram os operadores colando senhas em contas comprometidas e demonstrando como eficientemente filtrar contatos, fotos e outros dados armazenados lá e no armazenamento em nuvem associado.

    Uma área de trabalho do operador ITG18 a partir de uma gravação Bandicam.
    Prolongar / Uma área de trabalho do operador ITG18 a partir de uma gravação Bandicam.

    IBM X-Force IRIS

    As imagens também mostraram as configurações que os membros do grupo alteraram nas configurações de segurança de cada conta comprometida. As mudanças permitiram que os hackers conectassem algumas contas ao Zimbra, um programa de colaboração por email que pode agregar várias contas em uma única interface. O uso do Zimbra tornou possível gerenciar contas de email invadidas simultaneamente.

    Uma captura de imagem de um operador ITG18 sincronizando uma conta persona com Zimbra.
    Prolongar / Uma captura de imagem de um operador ITG18 sincronizando uma conta de persona com o Zimbra.

    BM X-Force IRIS

    Três outros vídeos revelaram que os operadores haviam comprometido várias contas associadas a um membro alistado da Marinha dos EUA e um oficial da Marinha Helênica. Os membros do ITG18 tinham credenciais para o que parecem ser seus emails pessoais e contas de mídia social. Em muitos casos, os hackers excluíram emails notificando os alvos de que havia logins suspeitos em suas contas.

    Detalhe meticuloso

    Os atacantes também acessaram arquivos mostrando as unidades militares em que estavam os militares da Marinha, sua base naval, residência, fotos e vídeos pessoais e registros fiscais. As operadoras vasculharam metodicamente as outras contas dos alvos, incluindo as de sites de streaming de vídeo, serviços de entrega de pizza, agências de relatórios de crédito, operadoras de celular e muito mais.

    “Os operadores parecem ter coletado meticulosamente informações sociais triviais sobre os indivíduos”, escreveram os pesquisadores da IBM. “No total, a operadora tentou validar credenciais para pelo menos 75 sites diferentes entre os dois indivíduos.

    Outros vídeos exibiram o número de telefone baseado no Irã e outros detalhes do perfil de uma persona falsa que os membros do ITG18 usaram em suas operações. O vídeo também revelou tentativas de enviar e-mails de phishing para o filantropo iraniano-americano e dois possíveis funcionários do Departamento de Estado.

    Outra descoberta potencialmente útil: quando os operadores usavam uma senha para obter acesso inicial a uma conta protegida pela autenticação multifator, eles continuavam. Isso sugere que a capacidade anteriormente revelada do Charming Kitten de ignorar a autenticação multifator é limitada.

    O relato dos bastidores que a IBM obteve demonstra a espada de dois gumes que é usada pelos hackers de espionagem. Embora suas operações geralmente produzam informações úteis sobre seus alvos, eles também podem mudar isso em Spy vs. Spy moda.


    Artigos Recentes

    Tendências de programação de funcionários que merecem continuar mesmo depois da pandemia

    Já se passou muito tempo desde que você poderia supor que a maioria de sua equipe está nisso das 9 às 5. A...

    Qual é o futuro do RH?

    Os departamentos de recursos humanos (RH) sempre foram essenciais para o sucesso organizacional e provavelmente continuarão assim nas próximas décadas. Mas a...

    Melhores ofertas do iPhone 11 em janeiro de 2021: iPhone 11 e iPhone 11 Pro

    Na esteira do lançamento do iPhone 12, agora é um ótimo momento para comprar ofertas de smartphones em dispositivos de última geração, como...

    Artigos Relacionados

    DEIXE UMA RESPOSTA

    Por favor digite seu comentário!
    Por favor, digite seu nome aqui