Gruparea iraniană de criminalitate cibernetică APT35 și-a dezvăluit accidental “secretele profesionale”

În videoclipurile încărcate pe internet, unul dintre membrii grupării gestiona conturi de email sparte.

Microsoft: Iran-Linked Hackers Targeted Presidential Campaign

Specialiștii echipei IBM X-Force Incident Response Intelligence Services (IRIS) au descoperit 40 GB date, conținând atât informații asociate conturilor sparte de către hackeri sau numerele de telefon utilizate pentru crearea de noi conturi, cât și videoclipurile didactice ale infractorilor cibernetici. Descoperirea a fost făcută cu ocazia monitorizării unui server tip cloud ce găzduiește mai multe domenii asociate grupării iraniene de criminalitate cibernetică APT35 (aka ITG18 , Phosphorus, Charming Kitten, Ajax Security Team). Cercetătorii au putut accesa datele, deoarece hackerii nu și-au protejat corespunzător serverul, configurându-i incorect setările.

Image capture of ITG18 operator desktop from Bandicam recording (Source: IBM X-Force IRIS)
Așa arată desktopul unui hacker APT35

Potrivit experților, unele dintre videoclipurile găsite reprezentă tutoriale folosite în instruirea noilor recruți și pot dura chiar și 2 ore. Astfel, aceste materiale erau înregistrate de pe desktop cu aplicația BandiCam și arătau, la modul concret, cum se gestionează conturile pentru phishing, cum se verifică accesul sau cum se fură fură datele din conturi deja sparte. In masivul de înregistrări au mai fost descoperite clipuri cu încercări nereușite de phishing derulate de gruparea APT35 împotriva unor organizații filantropice iraniano-americane sau împotriva unor oficiali ai Departamentului de Stat al SUA.

Specialiștii au identificat și notificat ulterior țintele prezentate în videoclipuri, printre acestea numărându-se inclusiv un soldat al Marinei SUA și un ofițer al Forțelor maritime grecești. În cinci fișiere video, intitulate «AOL.avi», «Aol Contact.avi», «Gmail.avi», «Yahoo.avi», «Hotmail.avi», se poate observa cum operatorul folosește câte un fișier tip Notepad conținând setul de credențiale pentru fiecare dintre platformele de email vizate.

Image capture of ITG18 operator syncing their persona account to Zimbra
Platforma Zimbra era utilizată de hackerii APT35

Un alt videoclip arată cum se realizează filtrarea diverselor seturi de date asociate acestor platforme de email, inclusiv contacte, fotografii sau stocarea în cloud. De asemenea, operatorul arăta cum se realizează modificarea setărilor de securitate pentru fiecare cont spart, după care le adaugă în Zimbra, o platformă legitimă de gestionare a conturilor de email, care poate combina mai multe conturi într-o singură interfață.

Cu Zimbra, un singur operator putea monitoriza și gestiona simultan diverse conturi de e-mail compromise, au menționat specialiștii IRIS.

Allison Wikoff, senior analist în cadrul IBM X-Force, a declarat că aceste videoclipuri reprezintă un artefact rar și reflectă foarte minuțios spionajul cibernetic sponsorizat de statul iranian, fenomen care nu se lasă surprins aproape niciodată.

“Nu dispuneam până acum de acest tip de cunoaștere îndeaproape (inside). Foarte rar vedem de fapt adversarul cum lucrează pe desktopul lui. Este pur și simplu un alt nivel de observare pentru noi. Nimic nu părea să le fie interzis celor de la APT35”, a mai spus Allison Wikoff.

Leave a Reply

Your email address will not be published. Required fields are marked *