Saltar al contenido

Espías iraníes filtraron accidentalmente videos de ellos mismos pirateando

julio 2, 2021


El elemento más revelador del video, dice Wikoff, es la velocidad que demuestra el pirata informático para exfiltrar la información de las cuentas en tiempo real. Los datos de la cuenta de Google se roban en unos cuatro minutos. La cuenta de Yahoo tarda menos de tres minutos. En ambos casos, por supuesto, una cuenta real con decenas o cientos de gigabytes de datos tardaría mucho más en descargarse. Pero los clips demuestran la rapidez con la que se configura el proceso de descarga, dice Wikoff, y sugieren que es probable que los piratas informáticos estén llevando a cabo este tipo de robo de datos personales a gran escala. «Ver lo expertos que son para entrar y salir de todas estas diferentes cuentas de correo web y configurarlas para que se filtren, es simplemente asombroso», dice Wikoff. «Es una máquina bien engrasada».

En algunos casos, los investigadores de IBM pudieron ver en el video que las mismas cuentas ficticias también se estaban utilizando para enviar correos electrónicos de phishing, con correos electrónicos devueltos a direcciones no válidas que aparecían en las bandejas de entrada de las cuentas. Los investigadores dicen que esos correos electrónicos rebotados revelaron algunos de los objetivos de los piratas informáticos APT35, incluido el personal del Departamento de Estado estadounidense, así como un filántropo iraní-estadounidense. No está claro si alguno de los objetivos fue objeto de suplantación de identidad con éxito. La cuenta ficticia de Yahoo también muestra brevemente el número de teléfono vinculado a ella, que comienza con el código de país +98 de Irán.

En otros videos que los investigadores de IBM se negaron a mostrar a WIRED, los investigadores dicen que los piratas informáticos parecían estar revisando y extrayendo datos de las cuentas de víctimas reales, en lugar de las que crearon con fines de capacitación. Una víctima era miembro de la Armada de los Estados Unidos y otra era un veterano de dos décadas de la Armada griega. Los investigadores dicen que los piratas informáticos APT35 parecen haber robado fotos, correos electrónicos, registros de impuestos y otra información personal de ambos individuos objetivo.

Un directorio de archivos en un servidor no seguro utilizado por los piratas informáticos APT35, que enumera las cuentas cuyos datos habían robado.Captura de pantalla: IBM

En algunos clips, los investigadores dicen que observaron a los piratas informáticos trabajando en un documento de texto lleno de nombres de usuario y contraseñas para una larga lista de cuentas que no son de correo electrónico, desde operadores telefónicos hasta cuentas bancarias, así como algunas tan triviales como la entrega de pizzas y la música. servicios de streaming. «Nada estaba prohibido», dice Wikoff. Sin embargo, los investigadores señalan que no vieron ninguna evidencia de que los piratas informáticos pudieran eludir la autenticación de dos factores. Cuando una cuenta estaba protegida con cualquier segunda forma de autenticación, los piratas informáticos simplemente pasaban a la siguiente en su lista.

El tipo de orientación que revelan los hallazgos de IBM encaja con operaciones anteriores conocidas vinculadas a APT35, que ha llevado a cabo espionaje en nombre de Irán durante años, con mayor frecuencia con ataques de phishing como su primer punto de intrusión. El grupo se ha centrado en objetivos gubernamentales y militares que representan un desafío directo para Irán, como los reguladores nucleares y los organismos de sanciones. Más recientemente, ha dirigido sus correos electrónicos de phishing a compañías farmacéuticas involucradas en la investigación de Covid-19 y en la campaña de reelección del presidente Donald Trump.



Source link

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *