هکرهای ایرانی به طور تصادفی فیلم های آموزشی خود را معرض نمایش گذاشتند

خطای OPSEC که توسط هکر ایرانی رخ داد، موجب شد اطلاعات گروه آن ها فاش شود و در معرض خطر قرار بگیرند. سرویس های اطلاعاتی X-Force IBM حدود پنج ساعت ویدیو ضبط شده از گروهی که خود را به نام ITG18 ( به نام های Charming Kitten, Phosphorous،APT35 نیز شناخته می شوند) می نامد به دست آورد، که از آن ها برای آموزش نیرو های خود استفاده می کند.

محققان گفتند: “برخی از این فیلم ها نشانگر مدیریت حساب های ایجاد شده توسط مخالفان و برخی نشان دهنده تلاش برای کسب دسترسی و آزمایش حساب های است که قبلا هک شده اند یا اطلاعات آن ها درز کرده اند، است.”

محققان IBM اضافه کردند که این فیلم ها به دلیل پیکربندی نادرست امنیتی یک VPS پیدا کرده اند و همچنین این سرور در اوایل سال جاری میزبان چندین دامنه ITG18 بوده و بیش از ۴۰ گیگ داده را در اختیار داشته.

Bandicam

محققان با کشف پرونده های ویدئویی نشان دادند که ITG18 به credential ایمیل ها و رسانه های اجتماعی ای که طریق فیشینگ به دست آورده اند، دسترسی کامل دارد که از این اطلاعات برای ورود به دیگر حساب ها، حذف اعلان های هشدار مربوط به هک شدن، و استخراج عکس ها و اسناد از Google Drive استفاده می کند.

این گروه همچنین قادر به کسب دسترسی به سرویس Google Takeout (takeout.google.com) قربانیان شده اند، که به آنان امکان استخراج اطلاعات حساب Google قربانی که شامل تاریخچه موقعیت های مکانی، اطلاعات جمع آوری شده Chrome و دستگاه های اندرویدی، را می دهد.

علاوه بر این، فیلم های ضبط شده با نرم افزار Bandicam نشان می دهد این افراد به برای نظارت و مدیریت ایمیل قربانیان، با استفاده credential ایمیل ها حساب قربانیان را به نرم افزار Zimbra وصل کرده اند.

طبق یافته های محققان، هکر ها لیست طولانی ای از نام کاربری و کلمه عبور را در اختیار دارند که حداقل شامل ۷۵ وب سایت مختلف از سایت بانک ها گرفته تا سایت فیلم و موسیقی می شود.

Zimbra

کلیپ های دیگر حاکی از دسترسی  گروه ITG18 به حساب های ایمیل یاهو است که شماره تلفن آن ها با کد کشور ایران (+۹۸) بوده، و از این حساب های برای ارسال ایمیل های فیشینگ استفاده می شود، که برخی از آنها به برگشت می خورند و به صندوق ورودی قربانی نمی رسند.

ITG18 دارای سابقه بلند و بالایی از هدف قرار دادن ایالات متحده و نیروهای نظامی خاورمیانه، دیپلماتیک و کارکنان دولت برای جمع آوری اطلاعات و جاسوسی برای خدمت به منافع ژئوپولیتیکی ایران است.

در هر صورت ، این کشفیات بر لزوم ایمن سازی حساب ها با استفاده از رمزهای عبور قوی تر، فعال کردن تأیید هویت دو مرحله ای و بررسی و محدود کردن دسترسی به برنامه های third-party تأکید می کند.