IBM的X-Force安全团队表示,他们已经从与伊朗有关联的黑客组织ITG18获得了5个小时的屏幕录像,并将这些录像上传到了一台暴露的服务器上

2020-07-17 00:44:23

当安全研究人员将国家支持的黑客行动的细节拼凑在一起时,他们通常会追踪到少量的恶意代码样本、网络日志和到遥远服务器的连接。当黑客记录下他们的所作所为,然后将视频上传到开放互联网上不受保护的服务器时,侦察工作就变得容易得多。这正是IBM的研究人员所说的一群伊朗黑客的所作所为。

IBM X-Force安全团队的研究人员今天透露,他们已经获得了大约5个小时的视频片段,这些视频似乎是直接从为IBM称为ITG18的组织工作的黑客的屏幕上录制的,其他安全公司将其称为APT35或魅力小猫。它是与伊朗政府有关联的最活跃的国家支持的间谍组织之一。泄露的视频是在黑客显然从受害者账户窃取的40G数据中发现的,其中包括美国和希腊的军事人员。数据中的其他线索表明,黑客的目标是美国国务院工作人员和一位未透露姓名的伊朗裔美国慈善家。

IBM的研究人员表示,他们发现这些视频是由于他们在之前的APT35活动中观察到的一台虚拟私有云服务器上的安全设置配置错误而曝光的。这些文件都是在5月份的几天内上传到暴露的服务器上的,就在IBM监控这台机器的时候。这些视频似乎是伊朗支持的黑客制作的培训演示,目的是向初级团队成员展示如何处理被黑客攻击的账户。他们显示,黑客进入被入侵的Gmail和雅虎邮箱账户下载他们的内容,以及从受害者那里渗出其他谷歌托管的数据。

这种黑客账户的数据泄露和管理很难说是复杂的黑客行为。这是一项劳动密集型但相对简单的工作,这是大规模网络钓鱼行动所必需的。尽管如此,这些视频仍然是一件罕见的艺术品,展示了国家支持的网络间谍活动的第一手资料,这在情报机构之外几乎是见不到的。

IBM X-Force的高级分析师艾莉森·威科夫(Allison Wikoff)表示,我们从未真正了解过威胁行为者是如何运作的,他的团队发现了这些视频。当我们谈到观察实际操作活动时,通常是通过事件响应活动或端点监控工具。我们很少在自己的桌面上真正看到对手。这完全是另一种水平的动手键盘观察法。

在IBM向“连线”展示的两段视频中,黑客演示了从被黑客的账户中窃取数据的工作流程,条件是这两段视频不会被发布。在一段视频中,黑客通过插入文本文档中的凭据,登录到一个被攻破的Gmail账户--演示中的一个虚拟账户--并将其链接到电子邮件软件Zimbra,该软件旨在从一个界面管理多个账户,使用Zimbra将账户的整个收件箱下载到黑客的机器上。然后,黑客迅速删除受害者Gmail中的警报,该警报称他们的账户权限已被更改。接下来,黑客也会从受害者的谷歌账户下载受害者的联系人和照片。第二个视频显示了雅虎账户的类似工作流程。

维科夫说,视频中最能说明问题的是黑客实时渗透账户信息的速度。谷歌账户的数据在大约4分钟内就被窃取了。雅虎账户只需不到三分钟。当然,在这两种情况下,一个充斥着数十或数百GB数据的真实账户需要更长的时间才能下载。但维科夫说,这些视频显示了下载过程建立得有多快,并表明黑客可能正在大规模实施这种类型的个人数据窃取。威科夫说,看看他们在进出所有这些不同的网络邮件账户和设置它们渗透方面有多么熟练,这真是令人惊叹,#34;威科夫说。这是一台上了油的机器。

在某些情况下,IBM的研究人员可以在视频中看到,同样的虚拟账户本身也被用来发送钓鱼电子邮件,被退回的电子邮件会出现在账户的收件箱中。研究人员说,这些退回的电子邮件揭示了APT35黑客的一些目标,包括美国国务院工作人员和一名伊朗裔美国慈善家。目前还不清楚这两个目标是否都被成功钓鱼。这个虚拟的雅虎账户还简短地显示了与其相关的电话号码,该号码以伊朗的国家代码开头。

在IBM研究人员拒绝向连线杂志展示的其他视频中,研究人员表示,黑客似乎是在梳理和窃取真实受害者账户的数据,而不是他们创建的用于培训目的的账户。一名遇难者是美国海军成员,另一名遇难者是在希腊海军服役20年的老兵。研究人员说,APT35黑客似乎从这两个目标个人那里窃取了照片、电子邮件、税务记录和其他个人信息。

在一些视频中,研究人员表示,他们观察到黑客在处理一份文本文档,里面装满了一长串非电子邮件账户的用户名和密码,从手机运营商到银行账户,还有一些琐碎的服务,比如披萨外卖和音乐流媒体服务。威科夫说,没有什么是禁区。然而,研究人员指出,他们没有看到任何证据表明黑客能够绕过双因素身份验证。当一个帐户使用任何第二种形式的身份验证进行安全保护时,黑客就会简单地转移到他们列表上的下一种身份验证。

IBM的调查结果揭示的那种目标,与此前已知的与APT35有关的行动相吻合。多年来,APT35一直代表伊朗从事间谍活动,最常见的是将钓鱼攻击作为其第一个入侵点。该组织将重点放在对伊朗构成直接挑战的政府和军事目标上,如核监管机构和制裁机构。最近,它将钓鱼电子邮件的目标对准了参与新冠肺炎研究和唐纳德·特朗普(Donald Trump)总统竞选连任的制药公司。

美国国家安全局前职员艾米丽·克罗斯指出,黑客意外将泄露的工具或文件留在不安全的服务器上,这并不是史无前例的。她现在是工业控制系统安全公司Dragos的安全研究员。但克罗斯说,她不知道有任何公开的国家支持的黑客自己行动的视频被留给调查人员,就像在这个案例中一样。她说,鉴于被黑客攻击的账户可能也包含了它们是如何被入侵的证据,泄露的视频很可能会迫使伊朗黑客改变一些策略。克罗斯说,这种事情对后卫来说是一次罕见的胜利。这就像玩扑克,让你的对手在最后一盘牌中间把整只手平放在桌子上。

即便如此,IBM表示,它并不认为发现APT35视频会减缓该黑客组织的行动步伐。毕竟,微软去年没收了近百个它的域名。威科夫说,他们只是重建并继续前进。她说,如果这样的基础设施清洗没有减缓伊朗人的脚步,那么也不要指望会有一点视频泄露的风险。

👁如果处理得当,人工智能可以使警务更加公平。另外:获取最新的人工智能新闻。

苹果(📱)在最新款手机之间左右为难?永远不要害怕-查看我们的iPhone购买指南和最喜欢的Android手机