Hackers iraníes expusieron accidentalmente sus videos de entrenamiento

22 julio, 2020

Un error de OPSEC cometido por hackers iraníes ha puesto al descubierto el funcionamiento interno del grupo de hackers. El incidente proporciona una rara visión del “detrás de cámaras de sus métodos”.

Los Servicios de Inteligencia de Respuesta a Incidentes X-Force de IBM (IRIS) obtuvieron casi cinco horas de videos del grupo patrocinado por el estado. El grupo ha sido llamado ITG18 (también conocido como Charming Kitten, Phosphorous o APT35) y es usado para capacitar a sus operadores.

Víctimas de los hackers

Algunas de las víctimas en los videos incluyeron cuentas personales del personal de la Armada de los Estados Unidos y Grecia. Además de intentos fallidos de phishing dirigidos contra funcionarios del departamento de estado de Estados Unidos y un filántropo iraní-estadounidense no identificado.

“Algunos de los videos mostraban al operador administrando cuentas creadas por adversarios. Otros mostraban al operador probando el acceso y extrayendo datos de cuentas previamente comprometidas”, dijeron los investigadores.

Los investigadores de IBM dijeron que encontraron los videos en un servidor de nube privada virtual que quedó expuesto debido. El mencionado servidor quedo expuesto debido a un ajuste incorrecto de la configuración de seguridad. El servidor, que también contenía varios dominios de ITG18 a principios de este año, tenía más de 40 gigabytes de datos.

Los archivos de video descubiertos muestran que ITG18 tenía acceso al correo electrónico de los objetivos y las credenciales de las redes sociales. Las credenciales fueron obtenidas a través de la suplantación de identidad.

Los hackers utilizaron la información para iniciar sesión en las cuentas y eliminar notificaciones de inicios de sesión sospechosos para no alertar a las víctimas. También para filtrar contactos , fotos y documentos de Google Drive.

“El operador también pudo iniciar sesión en Google Takeout de las víctimas (takeout.google.com), que permite a un usuario exportar contenido de su cuenta de Google. El usuario puede incluir el historial de ubicaciones, la información de Chrome y los dispositivos Android asociados”, señalaron los investigadores.

Videos expuestos

Los videos fueron capturados con la herramienta de grabación de pantalla Bandicam. Estos muestran que los hackers detrás de la operación conectaron las credenciales de las víctimas al software de colaboración por correo electrónico de Zimbra. Hicieron esto con la intención de monitorear y administrar las cuentas de correo electrónico comprometidas.

Fuera de las cuentas de correo electrónico, los investigadores encontraron que los atacantes emplearon una larga lista de nombres de usuario y contraseñas comprometidas. Usaron las credenciales contra al menos 75 sitios web diferentes. Los sitios van desde bancos hasta transmisión de videos y música, hasta algo tan trivial como la entrega de pizza y productos para bebés.

Otros clips mostraron al grupo ITG18 usando cuentas de Yahoo!, que incluyen un número de teléfono con el código de país de Irán (+98). Utilizaron las cuentas para enviar correos electrónicos de phishing, algunos de los cuales fueron rechazados. Esto sugiere que los correos electrónicos no llegaron a la bandeja de entrada de la víctima.

“Durante los videos en los que el operador validaba las credenciales de las víctimas, si el operador se autenticaba con éxito en un sitio configurado con autenticación multifactor (MFA), se detenían y pasaban a otro conjunto de credenciales sin tener acceso”, dijeron los investigadores.

Historial del grupo

ITG18 tiene una larga historia de atacar al personal militar, diplomático y gubernamental de los EE. UU. y Medio Oriente. El objetivo es la recolección de inteligencia y el espionaje para beneficio de los intereses geopolíticos de Irán.

En todo caso, el descubrimiento enfatiza la necesidad de asegurar tus cuentas utilizando contraseñas más seguras. Debes activar la autenticación de dos factores y revisar para limitar el acceso a aplicaciones de terceros.

“El compromiso de los archivos personales de los miembros de la Marina griega y estadounidense podría respaldar las operaciones de espionaje. Las operaciones están relacionadas con numerosos procedimientos que ocurren en el Golfo de Omán y el Golfo Arábigo”, concluyeron los investigadores de IBM X-Force.

“El grupo ha mostrado persistencia en sus operaciones y una creación consistente de nueva infraestructura. Esto a pesar de las múltiples revelaciones públicas y la amplia información sobre su actividad”.