40 GB di video trapelati mostrano come gli hacker iraniani dirottano gli account di posta elettronica

Buongiorno cari lettori, oggi parleremo d un rapposto di x-force iris.

Secondo un rapporto dell'X-Force Incident Response Intelligence Services (IRIS) di IBM, un errore dell'OPSEC ha portato alla diffusione di diversi video che dimostrano il modus operandi degli hacker iraniani.

I ricercatori hanno affermato che i video forniscono "rare intuizioni" sul funzionamento degli hacker iraniani sponsorizzati dallo Stato e soprannominati Charming Kitten, ITG18, APT35 o Phosphorus. 

I ricercatori hanno ottenuto circa cinque ore di filmati esclusivi, che gli hacker hanno utilizzato per addestrare i membri del loro team junior riguardo al funzionamento degli account di posta elettronica hackerati.

Uno dei video mostra gli hacker che accedono agli account di Yahoo Mail e Gmail hackerati, scaricano i loro contenuti ed estraggono ulteriori dati dalle vittime ospitati da Google.

Tutto questo ha senso, perché nel dicembre 2018, gli hacker di Charming Kitten sono stati trovati a scavalcare Gmail e Yahoo 2FA (autenticazione a due fattori) per colpire i funzionari statunitensi.

I video di spionaggio trapelati per errore mostrano come gli hacker iraniani dirottano gli account di posta elettronica

Un numero di telefono iraniano associato al conto (Immagine: IBM X-Force IRIS)

Alcuni filmati mostrano hacker che gestiscono "conti creati dagli avversari", mentre in altri si limitano ad accedere/esfiltrare dati da conti già hackerati.

I video rivelano anche che gli hacker potrebbero accedere agli account dei social media dei loro bersagli attraverso lo spear-phishing [PDF]. Anche se le tecniche non sono così sofisticate come ci si potrebbe aspettare, tuttavia, i video offrono una visione di prima mano di come operano gli hacker sponsorizzati dallo Stato.

Inoltre, i ricercatori hanno ottenuto i dati dello strumento di registrazione dello schermo di Bandicam, che ha dimostrato che gli hacker hanno collegato le credenziali del loro obiettivo al software di posta elettronica Zimbra per monitorare/gestire gli account di posta elettronica compromessi.

I video di spionaggio trapelati per errore mostrano come gli hacker iraniani dirottano gli account di posta elettronica

Charming Kitten hacker che sincronizzano il loro account con Zimbra (Immagine: IBM X-Force IRIS)

Zimbra permette la gestione di più account attraverso un'unica interfaccia e può scaricare l'intera casella di posta elettronica sul dispositivo. Utilizzando Zimbra, gli hacker possono accedere agli account delle loro vittime, cancellare le notifiche di accesso sospette e rubare contatti, documenti e foto da Google Drive.

Come ha dichiarato un analista senior di X-Force di IBM, Allison Wikoff,

"Non abbiamo mai avuto questo tipo di intuizione su come gli attori delle minacce operano realmente". Molto raramente vediamo l'avversario sul proprio desktop. È tutto un altro livello di osservazione "hands-on-keyboard"".

Vale la pena notare che i video sono stati esposti a causa di un errore di configurazione delle impostazioni di sicurezza di un cloud privato virtuale. I dati sono stati caricati sul server esposto durante il mese di maggio, in un momento in cui IBM stava monitorando la macchina. 

L'ITG18 è tra i gruppi di spionaggio statali più attivi attualmente operanti nel cyberspazio. I video sono stati apparentemente registrati direttamente dagli schermi degli hacker e IBM afferma di averli ottenuti da una banca dati di dati rubati.

I video di spionaggio trapelati per errore mostrano come gli hacker iraniani dirottano gli account di posta elettronica

Lo screenshot mostra il database sul server ane exposed utilizzato dagli hacker APT35 contenente le credenziali di accesso (Immagine: IBM X-Force IRIS)

Il database conteneva circa 40Gb di dati hackerati, appartenenti principalmente a dipendenti dell'esercito greco e statunitense, il che fa pensare al fatto che i dipendenti del Dipartimento di Stato USA fossero il bersaglio degli hacker, insieme a un umanitario iraniano-americano. Questo perché alcuni dei conti mostrati nei video trapelati appartengono a personale greco e della Marina Militare statunitense.

Gli hacker hanno anche creato una lunga lista di nomi utente e password hackerati contro ben 75 diversi siti web, dai servizi di consegna delle pizze, alle piattaforme di streaming di musica e video, ai punti vendita al dettaglio e persino alle banche. 

 "Durante i video in cui l'operatore convalidava le credenziali delle vittime se l'operatore si autenticava con successo contro un sito che era stato impostato con l'autenticazione multi-fattore (MFA), si sono fermati e sono passati a un altro set di credenziali senza ottenere l'accesso", hanno detto i ricercatori IBM nel loro post sul blog.

Raccomandiamo di proteggere tutti gli account con password uniche e di abilitare l'autenticazione a due fattori e di limitare il più possibile l'accesso ad altre applicazioni per impedire l'hacking.

spero che questo articolo vi sia piaciuto e noi ci vedremo  ad un prossimo articolo.