Твитнуть
Одна из наиболее известных группировок иранских «правительственных» хакеров, APT35 (она же Charming Kitten, Phosphorous и NewsBeef), допустила серьезную ошибку, неправильно настроив один из своих серверов. Из-за этого сервер три дня был доступен любому желающему, и сотрудники IBM X-Force обнаружили на нем около 40 Гб видео и других файлов, проливающих свет на «работу» группы.
Исследователи считают, что некоторые из найденных ими видео представляют собой учебные пособия, которые группировка использует для обучения новичков. Так, записи были сделаны с помощью специального приложения BandiCam, то есть эти видео появились не случайно, и хакеры не заразились своим собственным вредоносным ПО (да, история знавала и такие случаи).
Ролики демонстрируют, как иранские хакеры выполняют самые разные задачи, включая пошаговый взлом аккаунта жертвы с использованием заранее подготовленного списка учетных данных. Основными целями взломщиков выступали чужие почтовые ящики, но также производился взлом учетных записей социальных сетей, если были доступны скомпрометированные учетные данные.
Аналитики IBM X-Force отмечают дотошность злоумышленников: те получают доступ буквально к каждой учетной записи жертвы, независимо от того, насколько незначительным являлся тот или иной профиль. В итоге взлому подвергалось всё: сервисы потоковой передачи видео и музыки, доставка пиццы, сервисы финансовой помощи студентам и муниципальных коммунальных услуг, банкинг, аккаунты в видеоиграх, учетные записи операторов связи и так далее.
Суммарно операторы APT35 попытались скомпрометировать аккаунты как минимум на 75 различных сайтах, осуществляя взлом всего двух человек. Если взлом удавался, хакеры заглядывали в настройки учетной записи и искали там любую личную информацию, которая отсутствовала в других аккаунтах, чтобы в итоге составить максимально подробный профиль для каждой жертвы.
Эксперты не сообщают, как именно хакеры получили учетные данные своих целей. Возможно, пользователи были заранее заражены малварью, которая похищала пароли, а может быть, учетные данные были попросту куплены на черном рынке.
В других видеороликах хак-группы демонстрируется поэтапное хищение данных из каждой учетной записи. В том числе экспорт всех контактов, фотографий и документов из облачных хранилищ, таких как Google Drive. В некоторых случаях злоумышленники даже обращались к утилите Google Takeout, чтобы извлечь все содержимое чужого аккаунта Google, включая историю местоположений, данные из Chrome и связанных устройств на базе Android.
В конце, когда все остальное уже сделано, хакеры добавляли учетные данные электронной почты жертвы в Zimbra, что позволяло им удаленно контролировать сразу несколько учетных записей из одной бэкэнд-панели.
Помимо этого были обнаружены видео, на которых члены APT35 занимаются созданием специальных учетных записей электронной почты. Исследователи считают, что хакеры будут использовать эти аккаунты в будущих операциях.
Эксперты пишут, что им удалось идентифицировать и уведомить о компрометации некоторых из жертв злоумышленников, которых хакеры взламывали на видео, в том числе военнослужащего ВМС США, а также офицера ВМС Греции. Также на видео попали неудачные попытки получить доступ к учетным записям различных чиновников из Госдепартамента США, взлому которых помешала двухфакторная аутентификация.
Исследователи считают, что некоторые из найденных ими видео представляют собой учебные пособия, которые группировка использует для обучения новичков. Так, записи были сделаны с помощью специального приложения BandiCam, то есть эти видео появились не случайно, и хакеры не заразились своим собственным вредоносным ПО (да, история знавала и такие случаи).
Ролики демонстрируют, как иранские хакеры выполняют самые разные задачи, включая пошаговый взлом аккаунта жертвы с использованием заранее подготовленного списка учетных данных. Основными целями взломщиков выступали чужие почтовые ящики, но также производился взлом учетных записей социальных сетей, если были доступны скомпрометированные учетные данные.
Аналитики IBM X-Force отмечают дотошность злоумышленников: те получают доступ буквально к каждой учетной записи жертвы, независимо от того, насколько незначительным являлся тот или иной профиль. В итоге взлому подвергалось всё: сервисы потоковой передачи видео и музыки, доставка пиццы, сервисы финансовой помощи студентам и муниципальных коммунальных услуг, банкинг, аккаунты в видеоиграх, учетные записи операторов связи и так далее.
Суммарно операторы APT35 попытались скомпрометировать аккаунты как минимум на 75 различных сайтах, осуществляя взлом всего двух человек. Если взлом удавался, хакеры заглядывали в настройки учетной записи и искали там любую личную информацию, которая отсутствовала в других аккаунтах, чтобы в итоге составить максимально подробный профиль для каждой жертвы.
Эксперты не сообщают, как именно хакеры получили учетные данные своих целей. Возможно, пользователи были заранее заражены малварью, которая похищала пароли, а может быть, учетные данные были попросту куплены на черном рынке.
В других видеороликах хак-группы демонстрируется поэтапное хищение данных из каждой учетной записи. В том числе экспорт всех контактов, фотографий и документов из облачных хранилищ, таких как Google Drive. В некоторых случаях злоумышленники даже обращались к утилите Google Takeout, чтобы извлечь все содержимое чужого аккаунта Google, включая историю местоположений, данные из Chrome и связанных устройств на базе Android.
В конце, когда все остальное уже сделано, хакеры добавляли учетные данные электронной почты жертвы в Zimbra, что позволяло им удаленно контролировать сразу несколько учетных записей из одной бэкэнд-панели.
Помимо этого были обнаружены видео, на которых члены APT35 занимаются созданием специальных учетных записей электронной почты. Исследователи считают, что хакеры будут использовать эти аккаунты в будущих операциях.
Эксперты пишут, что им удалось идентифицировать и уведомить о компрометации некоторых из жертв злоумышленников, которых хакеры взламывали на видео, в том числе военнослужащего ВМС США, а также офицера ВМС Греции. Также на видео попали неудачные попытки получить доступ к учетным записям различных чиновников из Госдепартамента США, взлому которых помешала двухфакторная аутентификация.
Комментарий