fbpx
ActualitésHigh TechSécurité

Les cyberespions iraniens laissent des vidéos de formation exposées en ligne

L’un des principaux groupes de piratage iraniens a laissé un serveur exposé en ligne où des chercheurs en sécurité disent avoir trouvé une multitude d’enregistrements d’écran montrant les pirates en action.

Découvertes par la division de cybersécurité d’X-Force d’IBM, les chercheurs pensent que les vidéos sont des didacticiels que le groupe iranien utilisait pour former de nouvelles recrues.

Selon les analystes de X-Force, les vidéos ont été enregistrées avec une application d’enregistrement d’écran nommée BandiCam, suggérant qu’elles ont été enregistrées exprès et non accidentellement par des opérateurs infectés par leur propre malware.

Les vidéos ont montré les techniques de base de détournement de compte

Les vidéos montraient des pirates iraniens effectuant diverses tâches et comprenaient des étapes sur la façon de détourner le compte d’une victime en utilisant une liste d’informations d’identification compromises.

Les comptes de messagerie étaient les cibles principales, mais les comptes de médias sociaux étaient également accessibles si des informations d’identification de compte compromises étaient disponibles pour la cible.

X-Force a décrit le processus comme méticuleux, les opérateurs accédant à chaque compte victime, quelle que soit l’importance du profil en ligne.

Selon IBM X-Force, cela incluait l’accès aux comptes d’une victime pour le streaming vidéo et musical, la livraison de pizza, les rapports de crédit, l’aide financière aux étudiants, les services publics municipaux, les banques, les sites de produits pour bébés, les jeux vidéo et les opérateurs de téléphonie mobile. Dans certains cas, les opérateurs ont validé les informations d’identification pour au moins 75 sites Web différents auprès de deux personnes, ont-ils déclaré.

Les pirates ont accédé à la section des paramètres de chaque compte et ont recherché des informations privées qui pourraient ne pas être incluses dans d’autres comptes en ligne dans le cadre de leurs efforts pour créer un profil aussi complet que possible sur chaque cible.

IBM n’a pas précisé comment les pirates ont obtenu les informations d’identification pour chaque victime. On ne sait pas si les opérateurs ont infecté les cibles avec des logiciels malveillants qui ont vidé les mots de passe de leurs navigateurs, ou si les opérateurs ont acheté les informations d’identification sur le marché clandestin.

D’autres vidéos ont montré comment exporter les données de compte

Dans d’autres vidéos, l’opérateur a également suivi les étapes pour exfiltrer les données de chaque compte. Cela comprenait l’exportation de tous les contacts, photos et documents du compte à partir des sites de stockage cloud associés, tels que Google Drive.

Les chercheurs de X-Force disent que dans certains cas, les opérateurs ont également accédé à l’utilitaire Google Takeout d’une victime pour exporter des détails tels que le contenu complet de leur compte Google, y compris l’historique de localisation, les informations de Chrome et les appareils Android associés.

itg18 collected data - Les cyberespions iraniens laissent des vidéos de formation exposées en ligne
Image: IBM X-Force

Lorsque tout a été fait, les opérateurs ont également ajouté les informations d’identification de la victime à une instance de Zimbra exploitée par le groupe iranien, ce qui permettrait aux pirates de surveiller à distance plusieurs comptes à partir d’un panneau principal.

D’autres vidéos ont également montré les opérateurs impliqués dans la création de comptes de messagerie fantoche que les chercheurs de X-Force pensent que les pirates utiliseraient pour de futures opérations.

2FA a bloqué les intrusions

X-Force dit avoir été en mesure d’identifier et de notifier plus tard certains des témoignages de victimes présentés dans les vidéos, qui comprenaient un membre de la marine américaine, ainsi qu’un officier de la marine grecque.

Les vidéos ont également montré des tentatives infructueuses d’accéder à des comptes cibles, tels que les comptes de fonctionnaires du Département d’État américain.

Les vidéos où les attaques de compromission de compte ont échoué étaient généralement des comptes qui utilisaient l’authentification à deux facteurs (2FA), ont déclaré les chercheurs dans un rapport partagé cette semaine.

Serveur et vidéos de formation liés à ITG18/APT35

Les chercheurs de X-Force ont déclaré que le serveur où ils ont trouvé toutes ces vidéos faisait partie de l’infrastructure d’attaque d’un groupe iranien qu’ils suivaient comme ITG18, mais plus communément appelé Charming Kitten, Phosphorous et APT35.

Le groupe a été l’une des équipes de piratage d’État les plus actives d’Iran. Certaines des campagnes les plus récentes du groupe comprennent des attaques contre une campagne présidentielle américaine de 2020, mais aussi des dirigeants pharmaceutiques américains pendant la pandémie de COVID-19.

Les campagnes ITG18/APT35 passées ont également ciblé l’armée américaine, les régulateurs financiers américains et les chercheurs nucléaires américains – des domaines d’intérêt pour l’État iranien en raison des tensions militaires croissantes entre les deux pays, des sanctions économiques imposées à l’Iran et de l’expansion nucléaire iranienne. programme.

Afficher plus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Bouton retour en haut de la page