Tin tặc Iran vô tình tiết lộ video đào tạo nội bộ (40 GB) trên internet
Một lỗi OPSEC (operations security) gây ra bởi một hacker người Iran đã vô tình phơi bày một loạt các hoạt động nội bộ của một nhóm tin tặc chuyên nhắm mục tiêu tới chính phủ Hoa Kỳ và Trung Đông. Nó đã cho thấy một cái nhìn hiếm hoi về “phương thức tấn công mà chúng sử dụng đằng sau những cuộc tấn công mạng tinh vi.”
Cơ quan tình báo ứng phó sự cố X-Force của IBM (IRIS) hiện đang nắm giữ nhiều video khác nhau với tổng thời lượng lên đến gần năm giờ đồng hồ của một nhóm hacker hoạt động dưới sự bảo trợ nhà nước với tên gọi là ITG18 (hay còn gọi là Charming Kitten, Phosphorous, hay APT35). Được biết những video này được dùng để huấn luyện và đào tạo chính những thành viên trong tổ chức này.
Một số mục tiêu trong các video này của chúng bao gồm tài khoản cá nhân của các nhân viên Hải quân Hoa Kỳ và Hy Lạp, cùng một số thông tin về các cuộc tấn công phishing thất bại trực tiếp nhắm tới các quan chức bộ ngoại giao Hoa Kỳ và một nhà từ thiện người Mỹ gốc Iran không được đề cập tên.
“Một số video cho thấy những hacker này đang điều khiển các tài khoản tấn công do chính chúng tạo ra, trong khi những video khác thì cho thấy chúng đang kiểm tra quyền truy cập và trích xuất dữ liệu từ các tài khoản đã bị xâm nhập trước đó,” các nhà nghiên cứu cho biết.
Các chuyên gia bảo mật của IBM cho biết họ đã tìm thấy các video này trên một máy chủ ảo virtual private cloud bị lộ do một lỗi cấu hình sai của thiết lập bảo mật. Được biết máy chủ này chứa một lượng dữ liệu hơn 40 gigabyte. Và trước đó vào đầu năm nay, nó cũng bị phát hiện đang lưu trữ một số tên miền của nhóm tin tặc ITG18 này.
Các video cho thấy ITG18 đã giành được quyền truy cập vào email và có được thông tin đăng nhập các ứng dụng mạng xã hội của nạn nhân thông qua phương thức tấn công spear-phishing. Sau đó, chúng sử dụng những thông tin có được để đăng nhập vào tài khoản, xóa các cảnh báo hành vi đăng nhập đáng ngờ để nạn nhân không hề hay biết, từ đó trích xuất và đánh cắp thông tin liên lạc, ảnh và tài liệu từ Google Drive của nạn nhân.
“Những hacker này cũng có thể đăng nhập vào tài khoản Google Takeout của nạn nhân (takeout.google.com). Dịch vụ này cho phép người dùng xuất nội dung từ tài khoản Google của họ, bao gồm lịch sử vị trí, các thông tin, dữ liệu từ Chrome và các thiết bị Android được liên kết khác,” các nhà nghiên cứu lưu ý.
Bên cạnh đó, những video này cũng cho thấy kẻ tấn công đã liên kết các thông tin đăng nhập của nạn nhân vào phần mềm cộng tác email Zimbra với ý định giám sát và điều khiển các tài khoản email bị xâm nhập. Được biết các video này được quay bằng phần mềm ghi màn hình của Bandicam.
Bên cạnh tài khoản email, các nhà nghiên cứu cho biết họ còn phát hiện ra những kẻ tấn công này đang khai thác một danh sách dài các username và password bị xâm phạm khác. Danh sách này có liên quan tới ít nhất 75 trang web khác nhau, trải dài từ dịch vụ ngân hàng, các nền tảng stream video và âm nhạc cho đến những trang web thông thường như dịch vụ giao bánh pizza và các sản phẩm trẻ em.
Một số clip khác thì cho thấy nhóm tin tặc ITG18 đang lợi dụng các tài khoản Yahoo! giả mạo, có chứa một số điện thoại có mã quốc gia Iran (+98), để gửi email lừa đảo phishing. Một vài email trong số đó bị gửi trả lại, cho thấy chúng đã không đến được hòm thư của nạn nhân.
“Trong các video quay lại cảnh kẻ tấn công thực hiện xác thực các thông tin đăng nhập của nạn nhân, cho thấy nếu chúng xác thực thành công trên một trang web được thiết lập xác thực đa yếu tố (MFA – multi-factor authentication), thì chúng sẽ tạm dừng và chuyển sang xác thực một bộ thông tin đăng nhập khác mà không chiếm quyền truy cập,” các nhà nghiên cứu cho biết.
ITG18 có một lịch sử dài liên quan tới việc nhắm mục tiêu vào các cơ sở quân đội, bộ ngoại giao và các nhân viên chính phủ tại khu vực Hoa Kỳ và Trung Đông, nhằm thu thập thông tin tình báo và gián điệp để phục vụ lợi ích địa chính trị của Iran.
Hơn tất cả, phát hiện này đã góp phần nhấn mạnh sự cần thiết trong việc tăng cường bảo mật tài khoản. Bất cứ người dùng nào cũng nên tự đảm bảo thông tin của mình bằng cách sử dụng mật khẩu mạnh hơn, bật tính năng xác thực hai yếu tố, đồng thời xem xét và giới hạn quyền truy cập của các ứng dụng thuộc bên thứ ba.
“Việc xâm nhập các file hồ sơ cá nhân của các thành viên thuộc Hải quân Hy Lạp và Hoa Kỳ có thể nhằm hỗ trợ cho các hoạt động gián điệp liên quan đến các vụ kiện đang xảy ra ở vịnh Oman và vịnh Ả Rập. Mặc dù liên tục bị phát hiện và phơi bày công khai hoạt động do thám, nhưng nhóm tin tặc này vẫn luôn kiên trì hoạt động và nhất quán trong việc tạo ra cơ sở hạ tầng mới,” các nhà nghiên cứu IBM X-Force kết luận.
Theo The Hacker News