More

    Hackers estatais iranianos pegam as calças em vídeos interceptados


    Prolongar / A bandeira da República Islâmica do Irã.

    Os hackers estatais iranianos foram pegos de surpresa recentemente quando os pesquisadores descobriram mais de 40 GB de dados, incluindo vídeos de treinamento mostrando como os operadores cortam as contas on-line dos adversários e depois encobrem seus rastros.

    Os agentes pertenciam ao ITG18, um grupo de hackers que se sobrepõe a outro equipamento conhecido como Gatinho Encantador e Fósforo, que os pesquisadores acreditam que também trabalha em nome do governo iraniano. A afiliação tem como alvo campanhas presidenciais dos EUA e funcionários do governo dos EUA. Nas últimas semanas, o ITG18 também visou empresas farmacêuticas. Os pesquisadores geralmente consideram um grupo determinado e persistente que investe fortemente em novas ferramentas e infraestrutura.

    Em maio, a equipe de segurança X-Force IRIS da IBM obteve o cache de 40 GB de dados enquanto estava sendo carregado em um servidor que hospedava vários domínios conhecidos por serem usados ​​no início deste ano pelo ITG18. O conteúdo mais revelador foram os vídeos de treinamento que capturaram as táticas, técnicas e procedimentos do grupo, enquanto os membros do grupo realizavam hacks reais em contas de email e mídias sociais pertencentes a adversários.

    Incluído na filmagem estava:

    • Quase cinco horas de vídeo mostrando operadores pesquisando e exfiltrando dados de várias contas comprometidas pertencentes a duas pessoas, uma membro da Marinha dos EUA e a outra um oficial experiente na Marinha Helênica.
    • Falhas nas tentativas de phishing que visavam funcionários do Departamento de Estado dos EUA e um filantropo iraniano-americano. As falhas foram resultado de emails devolvidos porque pareciam suspeitos.
    • Personas online e números de telefone iranianos usados ​​por membros do grupo.

    A coleta de dados é um golpe de inteligência em potencial porque permite que pesquisadores (e provavelmente autoridades dos EUA) identifiquem os pontos fortes e fracos de um adversário que está melhorando constantemente seu talento para hackers. Os defensores podem melhorar as proteções projetadas para manter os atacantes afastados. A visão panorâmica também pode ter sinalizado planos para futuras operações do ITG18.

    Uma rara oportunidade

    “Raramente existem oportunidades para entender como o operador se comporta atrás do teclado, e ainda mais raras ainda existem gravações que o operador produziu mostrando suas operações”, escreveram os pesquisadores da IBM Allison Wikoff e Richard Emerson em um post publicado quinta-feira. “Mas foi exatamente isso que o X-Force IRIS descobriu em um operador ITG18 cujas falhas no OPSEC fornecem uma visão única dos bastidores de seus métodos e, potencialmente, seu trabalho para uma operação mais ampla que provavelmente está em andamento”.

    Os vídeos foram gravados usando uma ferramenta de gravação de desktop chamada Bandicam e variaram de dois minutos a duas horas. Os carimbos de hora indicavam que os vídeos foram gravados um dia ou mais antes de serem enviados. Cinco dos vídeos mostraram os operadores colando senhas em contas comprometidas e demonstrando como eficientemente filtrar contatos, fotos e outros dados armazenados lá e no armazenamento em nuvem associado.

    Uma área de trabalho do operador ITG18 a partir de uma gravação Bandicam.
    Prolongar / Uma área de trabalho do operador ITG18 a partir de uma gravação Bandicam.

    IBM X-Force IRIS

    As imagens também mostraram as configurações que os membros do grupo alteraram nas configurações de segurança de cada conta comprometida. As mudanças permitiram que os hackers conectassem algumas contas ao Zimbra, um programa de colaboração por email que pode agregar várias contas em uma única interface. O uso do Zimbra tornou possível gerenciar contas de email invadidas simultaneamente.

    Uma captura de imagem de um operador ITG18 sincronizando uma conta persona com Zimbra.
    Prolongar / Uma captura de imagem de um operador ITG18 sincronizando uma conta de persona com o Zimbra.

    BM X-Force IRIS

    Três outros vídeos revelaram que os operadores haviam comprometido várias contas associadas a um membro alistado da Marinha dos EUA e um oficial da Marinha Helênica. Os membros do ITG18 tinham credenciais para o que parecem ser seus emails pessoais e contas de mídia social. Em muitos casos, os hackers excluíram emails notificando os alvos de que havia logins suspeitos em suas contas.

    Detalhe meticuloso

    Os atacantes também acessaram arquivos mostrando as unidades militares em que estavam os militares da Marinha, sua base naval, residência, fotos e vídeos pessoais e registros fiscais. As operadoras vasculharam metodicamente as outras contas dos alvos, incluindo as de sites de streaming de vídeo, serviços de entrega de pizza, agências de relatórios de crédito, operadoras de celular e muito mais.

    “Os operadores parecem ter coletado meticulosamente informações sociais triviais sobre os indivíduos”, escreveram os pesquisadores da IBM. “No total, a operadora tentou validar credenciais para pelo menos 75 sites diferentes entre os dois indivíduos.

    Outros vídeos exibiram o número de telefone baseado no Irã e outros detalhes do perfil de uma persona falsa que os membros do ITG18 usaram em suas operações. O vídeo também revelou tentativas de enviar e-mails de phishing para o filantropo iraniano-americano e dois possíveis funcionários do Departamento de Estado.

    Outra descoberta potencialmente útil: quando os operadores usavam uma senha para obter acesso inicial a uma conta protegida pela autenticação multifator, eles continuavam. Isso sugere que a capacidade anteriormente revelada do Charming Kitten de ignorar a autenticação multifator é limitada.

    O relato dos bastidores que a IBM obteve demonstra a espada de dois gumes que é usada pelos hackers de espionagem. Embora suas operações geralmente produzam informações úteis sobre seus alvos, eles também podem mudar isso em Spy vs. Spy moda.


    Artigos Recentes

    Ring torna-se móvel com um trio de dispositivos de segurança automotiva

    Durante o evento de hoje da Amazon, Ring fez vários anúncios surpreendentes, incluindo um sobre a expansão da empresa em segurança automotiva com...

    Essas fotos estranhas e perturbadoras mostram que a IA está ficando mais inteligente

    De todos os modelos de IA do mundo, o GPT-3 da OpenAI é o que mais captura a imaginação do público. Ele...

    As melhores dicas e truques do iOS 14

    Uma das razões pelas quais as atualizações anuais da Apple para celulares são tão esperadas é que a maioria dos proprietários de dispositivos...

    Artigos Relacionados

    DEIXE UMA RESPOSTA

    Por favor digite seu comentário!
    Por favor, digite seu nome aqui