Одна из наиболее известных группировок иранских «правительственных» хакеров, APT35 (она же Charming Kitten, Phosphorous и NewsBeef), допустила серьезную ошибку, неправильно настроив один из своих серверов. Из-за этого сервер три дня был доступен любому желающему, и сотрудники IBM X-Force обнаружили на нем около 40 Гб видео и других файлов, проливающих свет на «работу» группы.

На сервере хак-группы хранились и похищенные у целей данные

 

Исследователи считают, что некоторые из найденных ими видео представляют собой учебные пособия, которые группировка использует для обучения новичков. Так, записи были сделаны с помощью специального приложения BandiCam, то есть эти видео появились не случайно, и хакеры не заразились своим собственным вредоносным ПО (да, история знавала и такие случаи).

BandiCam и рабочий стол одного из авторов хак-видео

Ролики демонстрируют, как иранские хакеры выполняют самые разные задачи, включая пошаговый взлом аккаунта жертвы с использованием заранее подготовленного списка учетных данных. Основными целями взломщиков выступали чужие почтовые ящики, но также производился взлом учетных записей социальных сетей, если были доступны скомпрометированные учетные данные.

Аналитики IBM X-Force отмечают дотошность злоумышленников: те получают доступ буквально к каждой учетной записи жертвы, независимо от того, насколько незначительным являлся тот или иной профиль. В итоге взлому подвергалось всё: сервисы потоковой передачи видео и музыки, доставка пиццы, сервисы финансовой помощи студентам и муниципальных коммунальных услуг, банкинг, аккаунты в видеоиграх, учетные записи операторов связи и так далее.

Суммарно операторы APT35 попытались скомпрометировать аккаунты как минимум на 75 различных сайтах, осуществляя взлом всего двух человек. Если взлом удавался, хакеры заглядывали в настройки учетной записи и искали там любую личную информацию, которая отсутствовала в других аккаунтах, чтобы в итоге составить максимально подробный профиль для каждой жертвы.

Эксперты не сообщают, как именно хакеры получили учетные данные своих целей. Возможно, пользователи были заранее заражены малварью, которая похищала пароли, а может быть, учетные данные были попросту куплены на черном рынке.

В других видеороликах хак-группы демонстрируется поэтапное хищение данных из каждой учетной записи. В том числе экспорт всех контактов, фотографий и документов из облачных хранилищ, таких как Google Drive. В некоторых случаях злоумышленники даже обращались к утилите Google Takeout, чтобы извлечь все содержимое чужого аккаунта Google, включая историю местоположений, данные из Chrome и связанных устройств на базе Android.

В конце, когда все остальное уже сделано, хакеры добавляли учетные данные электронной почты жертвы в Zimbra, что позволяло им удаленно контролировать сразу несколько учетных записей из одной бэкэнд-панели.

Помимо этого были обнаружены видео, на которых члены APT35 занимаются созданием специальных учетных записей электронной почты. Исследователи считают, что хакеры будут использовать эти аккаунты в будущих операциях.

Эксперты пишут, что им удалось идентифицировать и уведомить о компрометации некоторых из жертв злоумышленников, которых хакеры взламывали на видео, в том числе военнослужащего ВМС США, а также офицера ВМС Греции. Также на видео попали неудачные попытки получить доступ к учетным записям различных чиновников из Госдепартамента США, взлому которых помешала двухфакторная аутентификация.

8 комментариев

  1. Аватар

    upagge

    17.07.2020 в 11:55

    То есть супер хакеры пользуются виндовс?
    Мде, обмельчали хакеры

    • Аватар

      KoztiK

      20.07.2020 в 11:28

      С чего это интересно об обмельчал? Сейчас каждый первый, даже не второй пытается что-то взломать на линукс. Пусть попробуют они например все их попытки сделать на винде. Мне кажется мало, что получиться, а они пользовались и даже получалось. Бесят такие странные мысли, что на вроде ничего нельзя сделать. Как говориться, если у человека нет мозгов, он даже с кнопочным телефоном не разберутся.

    • Аватар

      leotop

      20.07.2020 в 12:03

      Используют что угодно и виндовс и линукс и мак и андроид и что-то более редкое, особенно когда касается гугла и хрома с их слежкой.

      Есть вероятность, что данные утекли не просто так, поэтому там именно виндовс и не представляющие ценность реальные данных, как бы для подтверждения, что процесс происходит так, а не по другому. Отвлекают внимание от настоящих методов.

  2. Аватар

    scobar

    17.07.2020 в 20:24

    Have they released the files publicly yet?

  3. Аватар

    sector

    18.07.2020 в 23:38

    Спасибо за статью, Уваж. Мария Нефёдова.
    Upagge, Хакеры не пользуются Windows OS , Разве что — Kali Linux,Linux 😉

    • Аватар

      Haeniken

      20.07.2020 в 21:48

      Пользуются шляпы тем, что есть под рукой, ос не имеет значения — если глобально. Просто где-то что-то более удобнее сделать, а где-то нет.

      Во-вторых, ничего не мешает навесить на линукс интерфейс винды, для меньшего привлечения внимания со стороны случайных прохожих. Что, впрочем-то активно используется в той же ос Tails. Пока нет видео, сложно сказать — возможно, это именно такая кастомная маскировка.

      В третьих, некоторые эксплойты компилятся только под определённой осью.

      Ну и напоследок, чем более популярна ось и браузер, с которой ты сидишь — тем меньше внимания тебе уделят. Пустое место привлекает больше внимания, чем среднестатический цифровой след.

  4. Аватар

    кровавый шинигами

    19.07.2020 в 07:50

  5. Аватар

    crevan izekil

    20.07.2020 в 10:09

Оставить мнение