Los ataques grabados iban dirigidos principalmente contra funcionarios del Departamento de Estado.
El Político / Primer Informe
Un grupo de piratas informáticos estatales iraníes quedaron atrapados recientemente cuando investigadores descubrieron más de 40 GB de datos, incluidos videos de capacitación que muestran cómo los operativos piratean las cuentas en línea de los adversarios y luego cubren sus huellas.
Los operativos pertenecían a ITG18, un grupo de piratería que se superpone con otro equipo alternativamente conocido como Charming Kitten and Phosphorous, que los investigadores creen que también funciona en nombre del gobierno iraní.
La afiliación se ha dirigido durante mucho tiempo a las campañas presidenciales de EE.UU. y a los funcionarios del gobierno de EE.UU.
En las últimas semanas, ITG18 también se ha dirigido a compañías farmacéuticas. Los investigadores generalmente lo consideran un grupo determinado y persistente que invierte mucho en nuevas herramientas e infraestructura.
En mayo, el equipo de seguridad de X-Force IRIS de IBM obtuvo la memoria caché de 40 GB de datos, ya que se estaba cargando en un servidor que albergaba múltiples dominios que ITG18 conocía a principios de este año.
Los contenidos más reveladores fueron videos de capacitación que capturaban las tácticas, técnicas y procedimientos del grupo mientras los miembros del grupo realizaban hackeos reales en cuentas de correo electrónico y redes sociales pertenecientes a adversarios.
El metraje contenía casi cinco horas de video que muestran a los operadores buscando y extrayendo datos de múltiples cuentas comprometidas que pertenecen a dos personas, una miembro de la Marina de los EE.UU. y la otra un oficial de personal experimentado en la Marina Helénica.
Además dejaron evidencias de intentos fallidos de phishing que atacaron a funcionarios del Departamento de Estado de EE.UU. y a un filántropo iraní-estadounidense. Las fallas fueron el resultado de rebotes de correos electrónicos porque parecían sospechosos.
También se pueden ver los personajes en línea y números de teléfono iraníes utilizados por los miembros del grupo.
La transmisión de estos datos es un posible golpe de inteligencia porque permite a los investigadores (y presumiblemente a los funcionarios de los EE.UU.) identificar las fortalezas y debilidades de un adversario que está mejorando constantemente su talento para hackear. Los defensores pueden mejorar las protecciones diseñadas para mantener alejados a los atacantes. La investigación también puede haber señalado planes para futuras operaciones de ITG18.
Una oportunidad rara
«Raramente hay oportunidades para comprender cómo se comporta el operador detrás del teclado, y aún más raras aún hay grabaciones que el operador produjo por sí mismo mostrando sus operaciones», escribieron los investigadores de IBM Allison Wikoff y Richard Emerson a ARS Technica. «Pero eso es exactamente lo que X-Force IRIS descubrió en un operador ITG18 cuyas fallas de OPSEC proporcionan una visión única detrás de escena de sus métodos y, potencialmente, su trabajo preliminar para una operación más amplia que probablemente esté en marcha», agregan.
Los videos fueron grabados usando una herramienta de grabación de escritorio llamada Bandicam y variaron entre dos minutos y dos horas. Las marcas de tiempo indicaron que los videos se grabaron aproximadamente un día antes de que se subieran.
Cinco de los videos mostraron a los operadores pegando contraseñas en cuentas comprometidas y luego demostrando cómo filtrar de manera eficiente contactos, fotos y otros datos almacenados allí y en el almacenamiento en la nube asociado.
El metraje también mostró la configuración que los miembros del grupo cambiaron en las configuraciones de seguridad de cada cuenta comprometida. Los cambios permitieron a los piratas informáticos conectar algunas de las cuentas a Zimbra, un programa de colaboración por correo electrónico que puede agregar varias cuentas en una sola interfaz. El uso de Zimbra hizo posible administrar cuentas de correo electrónico pirateadas simultáneamente.
Otros tres videos revelaron que los operadores habían comprometido varias cuentas asociadas con un miembro alistado de la Marina de los EE.UU. y un oficial de la Marina Helénica. Los miembros de ITG18 tenían credenciales para lo que parecen ser sus cuentas personales de correo electrónico y redes sociales.
En muchos casos, los piratas informáticos eliminaron correos electrónicos notificando a los objetivos que había habido inicios de sesión sospechosos en sus cuentas.
Detalle de cuidado
Los atacantes también accedieron a archivos que mostraban las unidades militares en las que se encontraba el personal de la Marina, su base naval, residencia, fotos y videos personales y registros de impuestos. Los operadores analizaron metódicamente otras cuentas de los objetivos, incluidos los sitios de transmisión de video, servicios de entrega de pizza, agencias de informes de crédito, operadores de telefonía móvil y más.»Los operadores parecen haber estado recolectando meticulosamente información social trivial sobre los individuos», escribieron los investigadores de IBM. “En total, el operador intentó validar las credenciales de al menos 75 sitios web diferentes en los dos individuos.
Otros videos mostraban el número de teléfono con sede en Irán y otros detalles de perfil para una persona falsa que los miembros de ITG18 usaban en sus operaciones. El video también reveló intentos de enviar correos electrónicos de phishing al filántropo iraní estadounidense y a dos posibles funcionarios del Departamento de Estado.
Otro descubrimiento potencialmente útil: cuando los operadores usaron una contraseña para obtener con éxito el acceso inicial a una cuenta que estaba protegida por autenticación multifactor, no continuaron. Eso sugiere que la capacidad previamente revelada de Charming Kitten para evitar la autenticación multifactorial es limitada.
La cuenta detrás de escena que obtuvo IBM demuestra la espada de doble filo que utilizan los hackers de espionaje. Si bien sus operaciones a menudo arrojan información útil sobre sus objetivos, los objetivos también pueden darle la vuelta al estilo de espías versus espías.
Fuente: Primer Informe