Gli analisti delle minacce colpiscono il lode della cyber intel madre dopo aver scoperto una perdita di dati da 40 GB che includeva video di addestramento che facevano luce sulle attività di un gruppo di minacce avanzato persistente iraniano.
In un post sul blog aziendale di questa settimana, IBM X-Force Incident Response Intelligence Services (IRIS) ha affermato che le risorse trapelate erano il risultato di un errore OPSEC da parte di un operatore appartenente al gruppo di minacce noto come ITG18, i cui TTP si sovrappongono a collega reputato ATP iraniano Charming Kitten e Magic Hound (aka Phosphorous e Rocket Kitten). IRIS ha scoperto i contenuti nel maggio 2020, poiché l'operatore ha caricato i file su un server noto per ospitare domini ITG18, secondo il post, creato dagli analisti IBM Allison Wikoff e Richard Emerson.
Le riprese video sono composte da una serie di registrazioni desktop e includono un operatore ITG18 che estrae i dati da un membro della Marina degli Stati Uniti e un ufficiale della Marina ellenica e lancia tentativi di phishing senza successo contro il Dipartimento di Stato degli Stati Uniti. Forse il più importante per le indagini delle forze dell'ordine: i video mostrano personaggi e numeri di telefono iraniani apparentemente collegati ai membri del gruppo di minaccia.
A un certo punto, l'operatore mostra anche come esfiltrare i dati associati ad AOL, Gmail, Hotmail e Yahoo, inclusi contatti, foto e archiviazione cloud associata, ha riferito IBM.
L'hacking degli Stati Uniti e dei membri della Marina ellenica era una tipica rappresentazione di come gli attori ITG18 si impegnano a utilizzare attacchi di phishing per impegnarsi in operazioni di raccolta credenziale e operazioni di compromesso via e-mail contro obiettivi di interesse strategico per l'Iran, osserva il post del blog. Dal video risulta che l'APT è stato in grado di ottenere le credenziali delle vittime per i loro account di posta elettronica e social media personali.
IBM ha dichiarato che l'operatore "ha esportato tutti i contatti dell'account, le foto, i documenti dai siti di archiviazione cloud associati, come Google Drive" e ha effettuato l'accesso a Google Takeout delle vittime allo scopo di esfiltrare i dati dell'account Google come la cronologia delle posizioni, le informazioni sul browser Chrome e Android associato dispositivi.
"Tra i file personali esfiltrati sul membro arruolato della US Navy c'erano dettagli sull'unità militare a cui erano associati tra cui la base navale a cui erano affiliati", riportarono Wikoff e Richard Emerson. “L'operatore ha raccolto una quantità significativa di informazioni personali su questa vittima, inclusa la presunta residenza; foto personali tra cui numerosi selfie e un video di una casa in scena; documentazione fiscale; e i contenuti di un sito di archiviazione cloud personale. "
Il post I video trapelati offrono rari retroscena dell'operazione APT iraniana apparsi per primi su SC Media .