Los piratas informáticos respaldados por Irán expusieron accidentalmente 40 GB de datos, incluidas imágenes de video de ellos mismos llevando a cabo operaciones de piratería debido a una configuración incorrecta de la configuración de seguridad en un servidor virtual privado en la nube.
Debido a este error, los investigadores del equipo de Servicios de Inteligencia de Respuesta a Incidentes (IRIS) de IBM X-Force han podido echar un vistazo a los métodos de piratería del grupo de piratas informáticos ITG18 (también conocido como APT35 o Charming Kitten).
APT35, que ha estado activo desde al menos 2013, se dirige principalmente a individuos y entidades de interés estratégico para el gobierno iraní mediante ataques de phishing y operaciones de compromiso de correo electrónico.
En mayo, IRIS descubrió los 40 GB de archivos de datos que se estaban cargando en un servidor monitoreado por los investigadores que albergaban numerosos dominios APT35 previamente observados en otras campañas del grupo. Los datos, que aparentemente fueron robados de las cuentas de las víctimas, incluido el personal militar estadounidense y griego, contenían casi cinco horas de videos que mostraban a un pirata informático "buscando y extrayendo datos de varias cuentas comprometidas de un miembro de la Marina de los EE. UU. Y un oficial de personal con casi dos décadas de servicio en la Marina Helénica ". Otras pistas en los datos sugieren que APT35 también apuntó a un filántropo iraní-estadounidense y a funcionarios del Departamento de Estado de Estados Unidos.
Los videos descubiertos parecen ser demostraciones de capacitación sobre cómo manejar cuentas pirateadas. Muestran a los piratas informáticos que acceden a cuentas comprometidas de Gmail y Yahoo Mail para descargar sus contenidos, así como también extraen otros datos alojados por Google de las víctimas.
“En cinco de los archivos de video, llamados“ AOL.avi ”,“ Aol Contact.avi ”,“ Gmail.avi ”,“ Yahoo.avi ”,“ Hotmail.avi ”, el operador utiliza un archivo de Bloc de notas que contiene una credencial para cada plataforma, y video por video los copió y los pegó en el sitio web asociado. El operador pasó a demostrar cómo exfiltrar varios conjuntos de datos asociados con estas plataformas, incluidos contactos, fotos y almacenamiento en la nube asociado ”, dijo el informe.
Luego, el atacante agregó las cuentas pirateadas a Zimbra, una plataforma de colaboración que incluye un servidor de correo electrónico y un cliente web, modificando la configuración dentro de la sección de seguridad de cada cuenta, lo que permitió al pirata informático monitorear y administrar varias cuentas de correo electrónico comprometidas simultáneamente.
Tres de los clips descubiertos revelaron que el grupo había logrado romper una serie de cuentas asociadas con un miembro alistado de la Armada de los Estados Unidos, así como con un oficial de la Armada Helénica. Al obtener acceso a las cuentas, el pirata informático eliminó las notificaciones enviadas a las cuentas comprometidas alertando sobre inicios de sesión sospechosos para no alarmar a las víctimas.
“Independientemente de la motivación, los errores del operador ITG18 permitieron a IBM X-Force IRIS obtener información valiosa sobre cómo este grupo podría llevar a cabo acciones en sus objetivos y capacitar a sus operadores. IBM X-Force IRIS considera que ITG18 es un grupo de amenazas determinado con una inversión significativa en sus operaciones ”, anotaron los investigadores.
"El grupo ha demostrado persistencia en sus operaciones y la creación constante de nueva infraestructura a pesar de múltiples divulgaciones públicas y amplios informes sobre su actividad".
