Descubren hackers iraníes con las manos en la masa en ataque cibernético contra EE.UU.
3 viewsLos ataques grabados iban dirigidos principalmente contra funcionarios del Departamento de Estado.
Un grupo de piratas informáticos estatales iraníes quedaron atrapados recientemente cuando investigadores descubrieron más de 40 GB de datos, incluidos videos de capacitación que muestran cómo los operativos piratean las cuentas en línea de los adversarios y luego cubren sus huellas.
Los operativos pertenecían a ITG18, un grupo de piratería que se superpone con otro equipo alternativamente conocido como Charming Kitten and Phosphorous, que los investigadores creen que también funciona en nombre del gobierno iraní.
En las últimas semanas, ITG18 también se ha dirigido a compañías farmacéuticas. Los investigadores generalmente lo consideran un grupo determinado y persistente que invierte mucho en nuevas herramientas e infraestructura.
En mayo, el equipo de seguridad de X-Force IRIS de IBM obtuvo la memoria caché de 40 GB de datos, ya que se estaba cargando en un servidor que albergaba múltiples dominios que ITG18 conocía a principios de este año.
«Raramente hay oportunidades para comprender cómo se comporta el operador detrás del teclado, y aún más raras aún hay grabaciones que el operador produjo por sí mismo mostrando sus operaciones», escribieron los investigadores de IBM Allison Wikoff y Richard Emerson a ARS Technica. «Pero eso es exactamente lo que X-Force IRIS descubrió en un operador ITG18 cuyas fallas de OPSEC proporcionan una visión única detrás de escena de sus métodos y, potencialmente, su trabajo preliminar para una operación más amplia que probablemente esté en marcha», agregan.
Los videos fueron grabados usando una herramienta de grabación de escritorio llamada Bandicam y variaron entre dos minutos y dos horas. Las marcas de tiempo indicaron que los videos se grabaron aproximadamente un día antes de que se subieran.
En muchos casos, los piratas informáticos eliminaron correos electrónicos notificando a los objetivos que había habido inicios de sesión sospechosos en sus cuentas.
Otros videos mostraban el número de teléfono con sede en Irán y otros detalles de perfil para una persona falsa que los miembros de ITG18 usaban en sus operaciones. El video también reveló intentos de enviar correos electrónicos de phishing al filántropo iraní estadounidense y a dos posibles funcionarios del Departamento de Estado.
Otro descubrimiento potencialmente útil: cuando los operadores usaron una contraseña para obtener con éxito el acceso inicial a una cuenta que estaba protegida por autenticación multifactor, no continuaron. Eso sugiere que la capacidad previamente revelada de Charming Kitten para evitar la autenticación multifactorial es limitada.
La cuenta detrás de escena que obtuvo IBM demuestra la espada de doble filo que utilizan los hackers de espionaje. Si bien sus operaciones a menudo arrojan información útil sobre sus objetivos, los objetivos también pueden darle la vuelta al estilo de espías versus espías.