Одна из наиболее известных группировок иранских «правительственных» хакеров, APT35 (она же Charming Kitten, Phosphorous и NewsBeef), допустила серьезную ошибку, неправильно настроив один из своих серверов. Из-за этого сервер три дня был доступен любому желающему, и сотрудники IBM X-Force обнаружили на нем около 40 Гб видео и других файлов, проливающих свет на «работу» группы.

Исследователи считают, что некоторые из найденных ими видео представляют собой учебные пособия, которые группировка использует для обучения новичков. Так, записи были сделаны с помощью специального приложения BandiCam, то есть эти видео появились не случайно, и хакеры не заразились своим собственным вредоносным ПО (да, история знавала и такие случаи).

Ролики демонстрируют, как иранские хакеры выполняют самые разные задачи, включая пошаговый взлом аккаунта жертвы с использованием заранее подготовленного списка учетных данных. Основными целями взломщиков выступали чужие почтовые ящики, но также производился взлом учетных записей социальных сетей, если были доступны скомпрометированные учетные данные.
Аналитики IBM X-Force отмечают дотошность злоумышленников: те получают доступ буквально к каждой учетной записи жертвы, независимо от того, насколько незначительным являлся тот или иной профиль. В итоге взлому подвергалось всё: сервисы потоковой передачи видео и музыки, доставка пиццы, сервисы финансовой помощи студентам и муниципальных коммунальных услуг, банкинг, аккаунты в видеоиграх, учетные записи операторов связи и так далее.
Суммарно операторы APT35 попытались скомпрометировать аккаунты как минимум на 75 различных сайтах, осуществляя взлом всего двух человек. Если взлом удавался, хакеры заглядывали в настройки учетной записи и искали там любую личную информацию, которая отсутствовала в других аккаунтах, чтобы в итоге составить максимально подробный профиль для каждой жертвы.
Эксперты не сообщают, как именно хакеры получили учетные данные своих целей. Возможно, пользователи были заранее заражены малварью, которая похищала пароли, а может быть, учетные данные были попросту куплены на черном рынке.
В других видеороликах хак-группы демонстрируется поэтапное хищение данных из каждой учетной записи. В том числе экспорт всех контактов, фотографий и документов из облачных хранилищ, таких как Google Drive. В некоторых случаях злоумышленники даже обращались к утилите Google Takeout, чтобы извлечь все содержимое чужого аккаунта Google, включая историю местоположений, данные из Chrome и связанных устройств на базе Android.
В конце, когда все остальное уже сделано, хакеры добавляли учетные данные электронной почты жертвы в Zimbra, что позволяло им удаленно контролировать сразу несколько учетных записей из одной бэкэнд-панели.
Помимо этого были обнаружены видео, на которых члены APT35 занимаются созданием специальных учетных записей электронной почты. Исследователи считают, что хакеры будут использовать эти аккаунты в будущих операциях.
Эксперты пишут, что им удалось идентифицировать и уведомить о компрометации некоторых из жертв злоумышленников, которых хакеры взламывали на видео, в том числе военнослужащего ВМС США, а также офицера ВМС Греции. Также на видео попали неудачные попытки получить доступ к учетным записям различных чиновников из Госдепартамента США, взлому которых помешала двухфакторная аутентификация.
upagge
17.07.2020 в 11:55
То есть супер хакеры пользуются виндовс?
Мде, обмельчали хакеры
KoztiK
20.07.2020 в 11:28
С чего это интересно об обмельчал? Сейчас каждый первый, даже не второй пытается что-то взломать на линукс. Пусть попробуют они например все их попытки сделать на винде. Мне кажется мало, что получиться, а они пользовались и даже получалось. Бесят такие странные мысли, что на вроде ничего нельзя сделать. Как говориться, если у человека нет мозгов, он даже с кнопочным телефоном не разберутся.
leotop
20.07.2020 в 12:03
Используют что угодно и виндовс и линукс и мак и андроид и что-то более редкое, особенно когда касается гугла и хрома с их слежкой.
Есть вероятность, что данные утекли не просто так, поэтому там именно виндовс и не представляющие ценность реальные данных, как бы для подтверждения, что процесс происходит так, а не по другому. Отвлекают внимание от настоящих методов.
scobar
17.07.2020 в 20:24
Have they released the files publicly yet?
ㅤ
18.07.2020 в 23:38
Спасибо за статью, Уваж. Мария Нефёдова.
Upagge, Хакеры не пользуются Windows OS , Разве что — Kali Linux,Linux 😉
Haeniken
20.07.2020 в 21:48
Пользуются шляпы тем, что есть под рукой, ос не имеет значения — если глобально. Просто где-то что-то более удобнее сделать, а где-то нет.
Во-вторых, ничего не мешает навесить на линукс интерфейс винды, для меньшего привлечения внимания со стороны случайных прохожих. Что, впрочем-то активно используется в той же ос Tails. Пока нет видео, сложно сказать — возможно, это именно такая кастомная маскировка.
В третьих, некоторые эксплойты компилятся только под определённой осью.
Ну и напоследок, чем более популярна ось и браузер, с которой ты сидишь — тем меньше внимания тебе уделят. Пустое место привлекает больше внимания, чем среднестатический цифровой след.
кровавый шинигами
19.07.2020 в 07:50
шиндовс
crevan izekil
20.07.2020 в 10:09
Яб глянул.