Κορυφαίοι hackers αποκαλύπτουν τις τεχνικές τους σε online video!

Μία από τις κορυφαίες ομάδες hacking του Ιράν έχει αφήσει έναν server εκτεθειμένο online, στον οποίο ερευνητές ασφαλείας της IBM εντόπισαν video που δείχνουν τους hackers “σε δράση”. Οι ερευνητές θεωρούν ότι αυτά τα video είναι μαθήματα που δείχνουν τεχνικές hacking, τις οποίες χρησιμοποιούν οι Ιρανοί hackers, για να εκπαιδεύσουν “νεοσύλλεκτους” hackers. Τα video εγγράφηκαν με μια εφαρμογή εγγραφής οθόνης που ονομάζεται “BandiCam”, γεγονός που αποδεικνύει ότι τραβήχτηκαν σκόπιμα και όχι καταλάθος από χειριστές που μολύνθηκαν από το malware τους. Τα video δείχνουν τους Ιρανούς hackers να εκτελούν διάφορα tasks, παρουσιάζοντας τις τεχνικές που πρέπει να ακολουθήσουν οι νεοσύλλεκτοι hackers για να παραβιάσουν τον λογαριασμό ενός θύματος, με την χρήση μιας λίστας παραβιασμένων credentials. Οι λογαριασμοί email ήταν πρωταρχικοί στόχοι των hackers, με τους λογαριασμούς social media να είναι επίσης προσβάσιμοι, σε περιπτώσεις που υπήρχαν τα credentials του παραβιασμένου λογαριασμού του στόχου.

Οι ερευνητές αναφέρουν πως πρόκειται για μία σχολαστική και καλά μελετημένη διαδικασία, με τους χειριστές να έχουν πρόσβαση σε κάθε λογαριασμό ενός στοχοποιημένου θύματος, ανεξάρτητα από το πόσο σημαντικό ή μη ήταν το online προφίλ του. Μέσα στους λογαριασμούς που απέκτησαν πρόσβαση, περιλαμβάνονταν, μεταξύ άλλων, οι λογαριασμοί που διέθετε το υποψήφιο θύμα για μουσική και video streaming, delivery, credit reporting, τράπεζες, video-games και εταιρείες κινητής τηλεφωνίας.

Οι Ιρανοί hackers μπήκαν στις ρυθμίσεις κάθε λογαριασμού και έψαξαν για προσωπικές πληροφορίες που ενδέχεται να μην περιλαμβάνονται σε άλλους online λογαριασμούς, σε μία προσπάθεια να δημιουργήσουν έναν όσο το δυνατόν πιο ολοκληρωμένο προφίλ για κάθε στόχο. Η IBM δεν αναφέρει λεπτομερώς πώς οι hackers έλαβαν τα credentials για κάθε θύμα. Επομένως, δεν είναι σαφές εάν οι hackers είχαν μολύνει τους στόχους με malware ή εάν είχαν αγοράσει τα credentials από κάποια “υπόγεια” αγορά.

Σε κάποια από τα video, οι Ιρανοί hackers δείχνουν τεχνικές για την κλοπή δεδομένων από κάθε λογαριασμό. Αυτό περιλαμβάνει την εξαγωγή όλων των επαφών του λογαριασμού – στόχου, των φωτογραφιών και εγγράφων από σχετικά υπηρεσίες cloud storage όπως το Google Drive. Οι ερευνητές της IBM επισημαίνουν ότι σε ορισμένες περιπτώσεις, οι χειριστές είχαν πρόσβαση και στο Google Takeout για να αποσπάσουν πληροφορίες, όπως το πλήρες περιεχόμενο του Google Λογαριασμού τους, συμπεριλαμβανομένου του ιστορικού τοποθεσίας, των πληροφοριών από το Chrome και συνδεδεμένων Android συσκευών.

SecNewsTV

23.1K subscribers

Περισσότερα... Subscribe!

Στη συνέχεια, οι χειριστές πρόσθεσαν τα email credentials του θύματος σε ένα Zimbra instance που χειρίζεται η ιρανική ομάδα, που θα επέτρεπε στους hackers να παρακολουθούν απομακρυσμένα πολλούς λογαριασμούς από ένα backend panel. Άλλα video δείχνουν επίσης τους χειριστές να ασχολούνται με τη δημιουργία puppet email accounts, που οι ερευνητές της IBM πιστεύουν ότι οι hackers θα χρησιμοποιήσουν για μελλοντικές επιθέσεις.

Επιπλέον, οι ερευνητές επισημαίνουν πως εντόπισαν μερικούς από τους λογαριασμούς των θυμάτων που απεικονίζονται στα video που διέρρευσαν οι Ιρανοί hackers. Σε αυτούς συμπεριλαμβάνονται ένα μέλος του Ναυτικού των ΗΠΑ και ένας αξιωματικός του Ελληνικού Ναυτικού.

Τα video δείχνουν επίσης αποτυχημένες προσπάθειες πρόσβασης σε λογαριασμούς στόχων, όπως οι λογαριασμοί αξιωματούχων του Υπουργείου Εξωτερικών των ΗΠΑ. Τα video στα οποία απέτυχαν οι επιθέσεις παραβιάσεων λογαριασμών, αφορούν κυρίως λογαριασμούς που χρησιμοποιούν έλεγχο ταυτότητας δύο παραγόντων (2FA).

Οι ερευνητές αναφέρουν ότι ο server στον οποίο βρήκαν όλα αυτά τα video, ήταν μέρος της υποδομής της επίθεσης μιας ιρανικής ομάδας με την ονομασία “ITG18”, αλλά είναι περισσότερο γνωστή με τις ονομασίες Charming Kitten, Phosphorous και APT35. Πρόκειται για μία από τις πιο ενεργές hacking ομάδες που χρηματοδοτούνται από το Ιράν. Ορισμένες από τις πιο πρόσφατες εκστρατείες της ομάδας περιλαμβάνουν επιθέσεις εναντίον μιας προεδρικής εκστρατείας των ΗΠΑ το 2020, αλλά και εναντίον φαρμακευτικών εταιρειών των ΗΠΑ, κατά τη διάρκεια της πανδημίας COVID-19.

Προηγούμενες εκστρατείες της ITG18 / APT35 έχουν επίσης στοχεύσει στρατιωτικούς, αμερικανικούς χρηματοοικονομικούς ρυθμιστές και πυρηνικούς επιστήμονες των ΗΠΑ, καθώς πρόκειται για κλάδους που έχουν προσελκύσει το ενδιαφέρον του Ιράν, λόγω των αυξανόμενων στρατιωτικών εντάσεων μεταξύ των δύο χωρών, των οικονομικών κυρώσεων που επιβλήθηκαν στο Ιράν, καθώς και του πυρηνικού προγράμματος του Ιράν.