Одна из наиболее известных группировок иранских «правительственных» хакеров, APT35 (она же Charming Kitten, Phosphorous и NewsBeef), допустила серьезную ошибку, неправильно настроив один из своих серверов. Из-за этого сервер три дня был доступен любому желающему, и сотрудники IBM X-Force обнаружили на нем около 40 Гб видео и других файлов, проливающих свет на «работу» группы.
Исследователи считают, что некоторые из найденных ими видео представляют собой учебные пособия, которые группировка использует для обучения новичков. Так, записи были сделаны с помощью специального приложения BandiCam, то есть эти видео появились не случайно, и хакеры не заразились своим собственным вредоносным ПО (да, история знавала и такие случаи).
Ролики демонстрируют, как иранские хакеры выполняют самые разные задачи, включая пошаговый взлом аккаунта жертвы с использованием заранее подготовленного списка учетных данных. Основными целями взломщиков выступали чужие почтовые ящики, но также производился взлом учетных записей социальных сетей, если были доступны скомпрометированные учетные данные.
Аналитики IBM X-Force отмечают дотошность злоумышленников: те получают доступ буквально к каждой учетной записи жертвы, независимо от того, насколько незначительным являлся тот или иной профиль. В итоге взлому подвергалось всё: сервисы потоковой передачи видео и музыки, доставка пиццы, сервисы финансовой помощи студентам и муниципальных коммунальных услуг, банкинг, аккаунты в видеоиграх, учетные записи операторов связи и так далее.
Суммарно операторы APT35 попытались скомпрометировать аккаунты как минимум на 75 различных сайтах, осуществляя взлом всего двух человек. Если взлом удавался, хакеры заглядывали в настройки учетной записи и искали там любую личную информацию, которая отсутствовала в других аккаунтах, чтобы в итоге составить максимально подробный профиль для каждой жертвы.
Эксперты не сообщают, как именно хакеры получили учетные данные своих целей. Возможно, пользователи были заранее заражены малварью, которая похищала пароли, а может быть, учетные данные были попросту куплены на черном рынке.
В других видеороликах хак-группы демонстрируется поэтапное хищение данных из каждой учетной записи. В том числе экспорт всех контактов, фотографий и документов из облачных хранилищ, таких как Google Drive. В некоторых случаях злоумышленники даже обращались к утилите Google Takeout, чтобы извлечь все содержимое чужого аккаунта Google, включая историю местоположений, данные из Chrome и связанных устройств на базе Android.
В конце, когда все остальное уже сделано, хакеры добавляли учетные данные электронной почты жертвы в Zimbra, что позволяло им удаленно контролировать сразу несколько учетных записей из одной бэкэнд-панели.
Помимо этого были обнаружены видео, на которых члены APT35 занимаются созданием специальных учетных записей электронной почты. Исследователи считают, что хакеры будут использовать эти аккаунты в будущих операциях.
Эксперты пишут, что им удалось идентифицировать и уведомить о компрометации некоторых из жертв злоумышленников, которых хакеры взламывали на видео, в том числе военнослужащего ВМС США, а также офицера ВМС Греции. Также на видео попали неудачные попытки получить доступ к учетным записям различных чиновников из Госдепартамента США, взлому которых помешала двухфакторная аутентификация.