ایرانی جاسوس تصادفی به بیرون درز ویدئوها از خود نرم

IBM X-Force تیم امنیتی به دست آمده از پنج ساعت از APT35 نرم عملیات نشان دادن دقیقا چگونه این گروه سرقت اطلاعات از حساب های ایمیل—و کسی که آن را هدف قرار دادن.

زمانی که محققان امنیتی قطعه با هم blow-by-blow از یک دولت حمایت نرم و عملیات آنها معمولا پس از نازک دنباله ای از کد های مخرب نمونه شبکه سیاهههای مربوط و اتصالات به دور سرور. که کار پلیسی می شود به طور قابل توجهی ساده تر هنگامی که شما برای ضبط آنچه آنها انجام می دهند و سپس آپلود تصویری برای محافظت نشده یک سرور در اینترنت است. که دقیقا چیزی است که محققان شرکت آی بی ام می گویند در ایران هکرها را انجام داد.

محققان در IBM X-Force تیم امنیتی امروز نشان داد که آنها به دست آمده حدود پنج ساعت از فیلم که به نظر می رسد که ثبت شده است به طور مستقیم از روی صفحه نمایش از هکرها کار برای یک گروه IBM تماس ITG18 که دیگر شرکت های امنیتی به عنوان مراجعه APT35 یا جذاب بچه گربه. این یکی از فعال ترین دولت حمایت جاسوسی تیم های وابسته به دولت ایران است. این فیلم بیرون درز پیدا شد در میان 40 گیگابایت از داده ها است که هکرها ظاهرا به سرقت رفته از قربانی حساب از جمله آمریکا و یونانی پرسنل نظامی است. سرنخ های دیگر در این داده ها نشان می دهد که هکرها هدف ما کارکنان وزارت امور خارجه و ناشناس ایرانی-آمریکایی نیکوکار.

IBM محققان می گویند که آنها در بر داشت ویدئوها در معرض با توجه به misconfiguration از تنظیمات امنیتی در یک ابر خصوصی مجازی سرور آنها مشاهده شده در قبلی APT35 فعالیت است. فایل تمام شد آپلود و در معرض سرور بیش از چند روز در ماه مه فقط به عنوان آی بی ام بود که نظارت بر دستگاه. فیلم به نظر می رسد آموزش تظاهرات ایران-حمایت هکرها ساخته شده برای نشان دادن تاریخ و اعضای تیم چگونه به مسئولیت رسیدگی به حساب های هک. آنها نشان می دهد که دسترسی هکرها به خطر بیافتد Gmail و Yahoo Mail accounts برای دانلود مطالب خود را به عنوان به خوبی به عنوان exfiltrating دیگر گوگل به میزبانی داده ها از قربانیان است.

این نوع از داده ها exfiltration و مدیریت حساب های هک است که به سختی پیچیده نرم. این بیشتر به نوع کار فشرده اما نسبتا ساده کار که لازم است در یک مقیاس بزرگ عملیات فیشینگ. اما فیلم با اینحال نمایندگی نادر دست نشان دست اول از نظر حمایت دولت cyberspying که تقریبا هرگز دیده می شود در خارج از یک سازمان اطلاعاتی.

“ما نمی تواند این نوع از بینش چگونه تهدید بازیگران کار واقعا همیشه می گوید:” آلیسون Wikoff یک تحلیلگر ارشد در شرکت IBM X-Force که تیم کشف ویدئوها. “هنگامی که ما صحبت در مورد رعایت دست در فعالیت های آن را معمولا از incident response درگیری و یا پایانی ابزار نظارت بر. بسیار به ندرت ما در واقع دشمن بر روی دسکتاپ خود را. آن را به یک سطح کاملا دیگر از “دست بر روی صفحه کلید’ مشاهده است.”

در دو فیلم IBM نشان داد به سیمی که در وضعیت آنها منتشر نمی شود هکرها نشان می دهد گردش کار برای انحراف مسیر داده ها را از یک حساب هک شده است. در یک ویدئو هکر سیاهههای مربوط به یک مصالحه حساب Gmail—یک حساب ساختگی برای تظاهرات—با متصل کردن اعتبار از یک سند متنی و لینک آن را به ایمیل نرم افزار Zimbra طراحی شده برای مدیریت حساب های متعدد از یک رابط کاربری با استفاده از Zimbra برای دانلود این حساب کل صندوق به هکر ماشین. سپس هکر به سرعت حذف هشدار در قربانی جیمیل است که می گوید حساب خود مجوز تغییر شده اند. بعدی هکر محبوبیت قربانی مخاطبین و عکس ها از حساب گوگل خود را بیش از حد. دوم ویدئو نشان می دهد گردش کار مشابه را برای یک حساب کاربری یاهو.

screenshot
یک تصویر از یک ویدیو به بیرون درز ایرانی هکرها نشان دادن چگونه به exfiltrate ایمیل از اکانت یاهو با استفاده از ابزار مدیریت ایمیل Zimbra.تصویر: آی بی ام

گفتن ترین عنصر در این ویدئو Wikoff می گوید: سرعت هکر نشان می دهد در exfiltrating حساب اطلاعات در زمان واقعی است. حساب Google اطلاعات به سرقت رفته در حدود چهار دقیقه است. یاهو حساب کاربری در کمتر از سه دقیقه است. در هر دو مورد البته یک حساب واقعی جمعیت با ده ها و یا صدها گیگابایت داده را دور دیگر برای دانلود. اما این کلیپ نشان می دهد که چگونه به سرعت دانلود فرایند راه اندازی Wikoff می گوید و نشان می دهد که هکرها به احتمال زیاد انجام این نوع از اطلاعات شخصی سرقت در مقیاس انبوه. “برای دیدن چگونه ماهر آنها را در رفتن در داخل و خارج از تمام این ایمیل حساب و تنظیم آنها را به exfiltrate این فقط شگفت انگیز است می گوید:” Wikoff. “این یک ماشین خوب روغن.”

در برخی موارد محققان آی بی ام می تواند در این ویدئو که همان حساب ساختگی نیز خود را مورد استفاده برای ارسال ایمیل های فیشینگ با منعکس ایمیل های نامعتبر آدرس ظاهر می شود در حساب’ صندوق. محققان می گویند کسانی که منعکس ایمیل نشان داد برخی از APT35 هکرها’ هدف از جمله آمریکا کارکنان وزارت امور خارجه به عنوان به خوبی به عنوان یک ایرانی-آمریکایی نیکوکار. روشن نیست اگر هم هدف با موفقیت phished. ساختگی حساب یاهو نیز به طور خلاصه نشان می دهد شماره تلفن مرتبط با آن آغاز می شود که با ایران +98 کد کشور.

در فیلم های دیگر از محققان آی بی ام کاهش یافته است که نشان می دهد به سیمی محققان می گویند هکرها به نظر می رسد از طریق ترکیب و exfiltrating از داده های واقعی قربانیان حساب, به جای آنهایی که آنها ایجاد شده برای اهداف آموزشی. یک قربانی عضو نیروی دریایی ایالات متحده و دیگری در دو دهه کهنه یونانی نیروی دریایی. محققان می گویند این APT35 به نظر می رسد هکرها به سرقت رفته, عکس, ایمیل های, پرونده های مالیاتی و دیگر اطلاعات شخصی از هر دو هدف افراد است.

screenshot of email addresses
یک دایرکتوری فایل در یک سرور نا امن استفاده می شود APT35 هکرها, لیست حساب های که داده های آنها به سرقت رفته بود.تصویر: آی بی ام

در برخی از کلیپ ها محققان می گویند آنها مشاهده هکرها کار را از طریق یک سند متنی پر از نام کاربری و کلمه عبور برای یک لیست طولانی از غیر حساب ایمیل از حامل تلفن به حساب های بانکی به عنوان به عنوان بی اهمیت به عنوان تحویل پیتزا و جریان موسیقی خدمات. “هیچ چیز خارج از محدوده” Wikoff می گوید. محققان توجه داشته باشید که آنها نمی بینم هیچ گونه شواهد است که هکرها قادر به دور زدن دو فاکتور تأیید هویت ، هنگامی که یک حساب امن شد با هر فرم دوم از احراز هویت هکرها به سادگی نقل مکان کرد و به یک بعدی در فهرست خود را.

مرتب کردن بر اساس هدف قرار دادن که آی بی ام را يافته ها نشان می دهد متناسب با قبلی شناخته شده عملیات به APT35 که از جاسوسی به نمایندگی از ایران در سال اغلب با حملات فیشینگ به عنوان اولین نقطه از نفوذ. این گروه با تمرکز بر دولت و اهداف نظامی است که نشان دهنده یک چالش مستقیم به ایران مانند تنظیم کننده هسته ای و تحریم ها بدن. اخیرا این هدف خود ایمیل های فیشینگ در شرکت های دارویی درگیر در Covid-19 پژوهش و رئیس جمهور دونالد مغلوب ساختن پیشی جستن انتخاب مجدد مبارزه است.

آن را به سختی و بی سابقه برای هکرها به طور تصادفی ترک آشکار ابزار و یا اسناد و مدارک در نا امن کردن سرور اشاره سابق NSA کارمند امیلی Crose که در حال حاضر با این نسخهها کار به عنوان یک محقق امنیتی برای کنترل صنعتی سیستم های امنیتی شرکت Dragos. اما Crose می گوید او آگاه نیست هر دولتی نمونه واقعی ویدئوها از حمایت دولت هکرها خود عملیات چپ برای محققان در این مورد. و با توجه به این که هک حساب به احتمال زیاد نیز حاوی شواهدی از چگونه آنها را در معرض خطر قرار گرفت او می گوید: این فیلم به خوبی ممکن است نیروی ایران قادر به تغییر برخی از تاکتیک های خود را. “این نوع از چیزی که نادر پیروزی برای مدافعان” Crose می گوید. “آن را مانند بازی پوکر و داشتن مخالفان خود را وضع خود را در کل دست را صاف بر روی میز در وسط از آخرین بدترین بازیکن میدان.”

حتی پس از IBM می گوید آن را ندارد انتظار کشف آن از APT35 ویدئوها به سرعت هک گروه عملیات. پس از همه, آن را تا به حال نزدیک به یک صد نفر از آن دامنه های ضبط شده توسط مایکروسافت در سال گذشته است. “آنها به سادگی بازسازی شده و ادامه می گوید:” Wikoff. اگر این نوع از زیرساخت های پاکسازی نمی کند و آهسته ایرانیان, او می گوید: انتظار نداریم که یک بیت از ویدیو به بیرون درز قرار گرفتن در معرض هر دو.


بزرگ تر سیمی داستان
  • پشت میله های زندان است اما هنوز ارسال در Infinite
  • دوست من زده شد ALS. به مبارزه با عقب او ساخته شده است یک جنبش
  • Deepfakes در حال تبدیل شدن به جدید داغ شرکت ابزار آموزشی
  • امریکا یک بیمار وسواس با Covid-19 سنجی
  • که کشف اولین واکسن?
  • 👁 اگر درست انجام شود AI می تواند پلیس عادلانه تر. به علاوه: دریافت آخرین اخبار AI
  • 📱 پاره بین آخرین گوشی ؟ هرگز ترس—بررسی آیفون ما راهنمای خرید و مورد علاقه گوشی های آندروید

tinyurlis.gdv.gdv.htclck.ruulvis.netshrtco.de

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>