• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Grupo de hackers iraníes publica por accidente sus vídeos de ‘entrenamiento’

Grupo de hackers iraníes publica por accidente sus vídeos de ‘entrenamiento’

23 julio, 2020 Por Daniel Púa Deja un comentario

Debido a un fallo de configuración de seguridad, los Servicios de Respuesta a Incidentes X-Force de IBM (IRIS) pudieron obtener casi cinco horas de grabaciones de video del grupo al que llaman ITG18 (también llamado Charming Kitten, Phosphorous o APT35)

«Algunos de los vídeos mostraban al operador del grupo administrando cuentas creadas por el adversario, mientras que otros mostraban al operador probando el acceso y extrayendo datos de cuentas previamente comprometidas.»

Especificaron los investigadores

Los investigadores de IBM dijeron que encontraron los vídeos en un servidor cloud que quedó expuesto debido a una incorrecta configuración de seguridad. El servidor contenía más de 40 gigabytes de datos.

Los archivos de vídeo descubiertos muestran que ITG18 tenía acceso al correo electrónico de los objetivos y las credenciales de las redes sociales obtenidas a través de ataques de phishing. Utilizaban la información para iniciar sesión en las cuentas, eliminar notificaciones de inicios de sesión sospechosos para no alertar a las víctimas y filtrar contactos, fotos y documentos de Google Drive.

«El operador también pudo iniciar sesión en el Google Takeout de las víctimas (takeout.google.com), lo que permite a un usuario exportar contenido de su cuenta de Google, para incluir el historial de ubicaciones, la información de Chrome y los dispositivos Android asociados.»

Apuntan los investigadores

Además de esto, los videos, capturados con la herramienta de grabación de pantalla de Bandicam, también muestran que los sujetos detrás de la operación conectaron las credenciales de las víctimas al software de colaboración por correo electrónico de Zimbra con la intención de monitorizar y administrar las cuentas de correo electrónico comprometidas.

Aparte de las cuentas de correo electrónico, los investigadores dijeron que encontraron a los atacantes empleando una larga lista de nombres de usuario y contraseñas comprometidas contra al menos 75 sitios web diferentes que van desde bancos, webs de transmisión de vídeos y música, hasta actividades tan triviales como la entrega de pizza y productos para bebés.

«Durante los vídeos en los que el operador validaba las credenciales de las víctimas, si el operador se autentificaba con éxito en un sitio configurado con autentificación multifactor (MFA), se detenían y pasaban a otro conjunto de credenciales sin tener acceso».

Explican desde IBM

ITG18 tiene un largo historial de ataque es al personal militar, diplomático y gubernamental de los EEUU para la recolección de inteligencia que pueda servir a los intereses geopolíticos de Irán.

En todo caso, el descubrimiento enfatiza la necesidad de asegurar las cuentas utilizando contraseñas más seguras, activando la autenticación de dos factores (2FA) y revisando y limitando el acceso a aplicaciones de terceros.

Desde Hispasec recomendamos a todos los usuarios verificar los correos y enlaces a los que acceden y mantener siempre que sea posible 2FA configurado.

Más información:
https://www.bankinfosecurity.com/iranian-hackers-accidentally-exposed-training-videos-a-14653
https://www.wired.com/story/iran-apt35-hacking-video/

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Técnicas de Análisis Forense

Open Source INTelligence (OSINT)

Hacking Windows

Publicado en: General Etiquetado como: hacking, iran, ITG18, videos

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Reacción ante ciberataques... en vacaciones
  • Chema Alonso entrevista a Richard Stallman - Parte II
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.

Entradas recientes

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total
  • SAMBA puede poner en riesgo miles de instalaciones si no son actualizadas a tiempo.
  • Boletín de seguridad de Android
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • Ciberataque a Cellebrite, publicados 4Tb de datos de la compañía
  • Reacción ante ciberataques… en vacaciones
  • Routers comerciales de Cisco afectados por varias vulnerabilidades.
  • Descubierta nueva vulnerabilidad en las cámaras IP de la conocida marca DAHUA
  • Los ataques de ransomware conocidos apenas supondrían una sexta parte del total

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...