Une erreur de l’OPSEC par un acteur de la menace iranienne a mis à nu le fonctionnement interne du groupe de piratage en fournissant un aperçu rare sur «les coulisses de leurs méthodes».
Les X-Force Incident Response Intelligence Services (IRIS) d’IBM ont obtenu près de cinq heures d’enregistrements vidéo du groupe parrainé par l’État qu’il appelle ITG18 (aussi appelé Charmant chaton, Phosphoreux, ou APT35) qu’il utilise pour former ses opérateurs.
Certaines des victimes dans les vidéos comprenaient des témoignages personnels de membres du personnel de la marine américaine et grecque, en plus de tentatives de phishing infructueuses dirigées contre des responsables du département d’État américain et un philanthrope irano-américain anonyme.
« Certaines vidéos montraient l’opérateur gérant des comptes créés par l’adversaire tandis que d’autres montraient que l’opérateur testait l’accès et exfiltrait les données de comptes précédemment compromis », des chercheurs m’a dit.
Les chercheurs d’IBM ont déclaré avoir trouvé les vidéos sur un serveur de cloud privé virtuel qui a été laissé exposé en raison d’une mauvaise configuration des paramètres de sécurité. Le serveur, qui hébergeait également plusieurs domaines ITG18 plus tôt cette année, contenait plus de 40 gigaoctets de données.
Les fichiers vidéo découverts montrent qu’ITG18 avait accès aux informations d’identification de messagerie et de médias sociaux des cibles obtenues via hameçonnage, en utilisant les informations pour vous connecter aux comptes, supprimer les notifications de connexions suspectes afin de ne pas alerter les victimes et exfiltrer les contacts, les photos et les documents de Google Drive.
« L’opérateur a également pu se connecter à Google Takeout des victimes (takeout.google.com), ce qui permet à un utilisateur d’exporter du contenu depuis son compte Google, pour inclure l’historique de localisation, les informations de Chrome et les appareils Android associés », ont expliqué les chercheurs. c’est noté.
En plus de cela, les vidéos – capturées à l’aide de l’outil d’enregistrement d’écran de Bandicam – montrent également que les acteurs derrière l’opération ont branché les informations d’identification des victimes au logiciel de collaboration par courrier électronique de Zimbra dans le but de surveiller et de gérer les comptes de messagerie compromis.
En dehors des comptes de messagerie, les chercheurs ont déclaré avoir trouvé les attaquants utilisant une longue liste de noms d’utilisateur et de mots de passe compromis contre au moins 75 sites Web différents, allant des banques au streaming de vidéos et de musique en passant par quelque chose d’aussi trivial que la livraison de pizza et les produits pour bébés.
D’autres clips ont montré le groupe ITG18 exploitant le mannequin Yahoo! comptes, qui incluent un numéro de téléphone avec le code du pays de l’Iran (+98), les utilisant pour envoyer les e-mails de phishing, dont certains ont été renvoyés, suggérant que les e-mails n’ont pas atteint la boîte de réception de la victime.
« Pendant les vidéos où l’opérateur validait les informations d’identification de la victime, si l’opérateur s’authentifiait avec succès auprès d’un site configuré avec l’authentification multifacteur (MFA), il s’arrêtait et passait à un autre ensemble d’informations d’identification sans y accéder », ont déclaré les chercheurs. .
ITG18 a une longue histoire de ciblage du personnel militaire, diplomatique et gouvernemental des États-Unis et du Moyen-Orient pour la collecte de renseignements et l’espionnage au service des intérêts géopolitiques de l’Iran.
Si quoi que ce soit, la découverte met l’accent sur la nécessité de sécuriser vos comptes en utilisant des mots de passe plus forts, en activant l’authentification à deux facteurs et en examinant et en limitant l’accès aux applications tierces.
« La compromission des dossiers personnels des membres de la marine grecque et américaine pourrait soutenir les opérations d’espionnage liées à de nombreuses procédures se déroulant dans le golfe d’Oman et le golfe Persique », ont conclu les chercheurs d’IBM X-Force. «Le groupe a fait preuve de persévérance dans ses opérations et de création cohérente de nouvelles infrastructures malgré de multiples divulgations publiques et de nombreux rapports sur son activité.»
//