Los piratas informáticos estatales iraníes quedaron atrapados recientemente cuando los investigadores descubrieron más de 40 GB de datos, incluidos videos de capacitación que muestran cómo los operativos piratean las cuentas en línea de los adversarios y luego cubren sus huellas.
AntilavadoDeDinero / Arstechnica.com
Los operativos pertenecían a ITG18, un grupo de piratería que se superpone con otro equipo alternativamente conocido como Charming Kitten and Phosphorous, que los investigadores creen que también funciona en nombre del gobierno iraní. La afiliación se ha dirigido durante mucho tiempo a las campañas presidenciales de EE. UU. Y a los funcionarios del gobierno de EE. UU. En las últimas semanas, ITG18 también se ha dirigido a compañías farmacéuticas. Los investigadores generalmente lo consideran un grupo determinado y persistente que invierte mucho en nuevas herramientas e infraestructura.
En mayo, el equipo de seguridad X-Force IRIS de IBM obtuvo la memoria caché de 40 GB de datos, ya que se estaba cargando en un servidor que albergaba múltiples dominios que ITG18 sabía que este año utilizaría a principios de este año. Los contenidos más reveladores fueron videos de capacitación que capturaron las tácticas, técnicas y procedimientos del grupo mientras los miembros del grupo realizaban hacks reales en cuentas de correo electrónico y redes sociales pertenecientes a adversarios.
Incluido en el metraje fue:
- Casi cinco horas de video que muestran a los operadores que buscan y extraen datos de múltiples cuentas comprometidas que pertenecen a dos personas, una miembro de la Marina de los EE. UU. Y la otra un oficial de personal experimentado en la Marina Helénica.
- Intentos fallidos de phishing que atacaron a funcionarios del Departamento de Estado de EE. UU. Y a un filántropo iraní-estadounidense. Las fallas fueron el resultado de rebotes de correos electrónicos porque parecían sospechosos.
- Personajes en línea y números de teléfono iraníes utilizados por los miembros del grupo.
La transmisión de datos es un posible golpe de inteligencia porque permite a los investigadores (y presumiblemente a los funcionarios de los EE. UU.) Identificar las fortalezas y debilidades de un adversario que está mejorando constantemente su talento para hackear. Los defensores pueden mejorar las protecciones diseñadas para mantener alejados a los atacantes. La vista panorámica también puede haber señalado planes para futuras operaciones de ITG18.
Una rara oportunidad
“Raramente hay oportunidades para comprender cómo se comporta el operador detrás del teclado, y aún más raras aún hay grabaciones que el operador produjo por sí mismo mostrando sus operaciones”, escribieron los investigadores de IBM Allison Wikoff y Richard Emerson en una publicación publicada el jueves. “Pero eso es exactamente lo que X-Force IRIS descubrió en un operador ITG18 cuyas fallas de OPSEC proporcionan una visión única detrás de escena de sus métodos y, potencialmente, su trabajo preliminar para una operación más amplia que probablemente esté en marcha”.
Los videos fueron grabados usando una herramienta de grabación de escritorio llamada Bandicam y variaron entre dos minutos y dos horas. Las marcas de tiempo indicaron que los videos se grabaron aproximadamente un día antes de que se subieran. Cinco de los videos mostraron a los operadores pegando contraseñas en cuentas comprometidas y luego demostrando cómo filtrar de manera eficiente contactos, fotos y otros datos almacenados allí y en el almacenamiento en la nube asociado.
El metraje también mostró la configuración que los miembros del grupo cambiaron en las configuraciones de seguridad de cada cuenta comprometida. Los cambios permitieron a los piratas informáticos conectar algunas de las cuentas a Zimbra, un programa de colaboración por correo electrónico que puede agregar varias cuentas en una sola interfaz. El uso de Zimbra hizo posible administrar cuentas de correo electrónico pirateadas simultáneamente.
Otros tres videos revelaron que los operadores habían comprometido varias cuentas asociadas con un miembro alistado de la Marina de los EE. UU. Y un oficial de la Marina Helénica. Los miembros de ITG18 tenían credenciales para lo que parecen ser sus cuentas personales de correo electrónico y redes sociales. En muchos casos, los piratas informáticos eliminaron correos electrónicos notificando a los objetivos que había habido inicios de sesión sospechosos en sus cuentas.
Detalle de cuidado
Los atacantes también accedieron a archivos que mostraban las unidades militares en las que se encontraba el personal de la Marina, su base naval, residencia, fotos y videos personales y registros de impuestos. Los operadores analizaron metódicamente otras cuentas de los objetivos, incluidos los sitios de transmisión de video, servicios de entrega de pizzas, agencias de informes de crédito, operadores móviles y más.
“Los operadores parecen haber estado recolectando meticulosamente información social trivial sobre los individuos”, escribieron los investigadores de IBM. “En total, el operador intentó validar las credenciales de al menos 75 sitios web diferentes en los dos individuos.
Le puede interesar: Guardia Costera de Curazao interceptó lancha con drogas procedente de Venezuela
Otros videos mostraron el número de teléfono con sede en Irán y otros detalles de perfil para una persona falsa que los miembros de ITG18 usaron en sus operaciones. El video también reveló intentos de enviar correos electrónicos de phishing al filántropo iraní estadounidense y a dos posibles funcionarios del Departamento de Estado.
Otro descubrimiento potencialmente útil: cuando los operadores usaron una contraseña para obtener con éxito el acceso inicial a una cuenta que estaba protegida por autenticación multifactor, no continuaron. Eso sugiere que la capacidad previamente revelada de Charming Kitten para evitar la autenticación multifactorial es limitada.
