Az IBM X-Force kutatói egy félrekonfigurált felhőszolgáltatáson találtak 40 gigabájtnyi oktatóvideót, mely az iráni állami támogatású ITG18 nevű csoporthoz köthető.

Az oktatóvideókat nem tették közzé az IBM munkatársai, csupán annyit közöltek, hogy egy félrekonfigurált felhőtárhelyen 40 gigabájtnyi videókat találtak, amelyben az iráni állami támogatással működő ITG18 nevű csoport „munkájába” pillanthattak be.

A csoport az utóbbi időben gyógyszeripari vállalatokat és amerikai elnökségi kampányokat is támadott.

A 40 gigabájtnyi videók ötórányi felvételeket tartalmaztak, azok 2020 májusában készültek. A felvételek hossza két perctől két óráig terjed, és az iráni hackerek működési módját mutatja be, illetve a különböző online szolgáltatókhoz különböző tananyagokat tartalmaztak.

Megmutatta, hogy kell adatokat kinyerni

A felvételeken látható például, ahogy egy ITG18-operátor az amerikai haditengerészet egyik tagjának különböző feltört felhasználói fiókjaiból adatokat nyer ki, de egy görög tengerésztiszt adataihoz is hozzáfértek. A felvételeken nem sikerült adathalász támadások is láthatóak egy meg nem nevezett iráni-amerikai filantróp és az amerikai külügyminisztérium különböző tisztségviselői ellen. Ugyanakkor fény derült egyes ITG18-operátoroknak a személyére és telefonszámára is. A támadások kereszttüzében kizárólag az iráni kormány számára értékes személyek voltak, minden esetben adatszerzés volt a cél.

A nagyközönség számára is elérhető videófelvételek közül ötben, az „AOL.avi”, „Aol Contact.avi”, „Gmail.avi”, „Yahoo.avi”, „Hotmail.avi” nevű fájlokban a hacker egy Notepad fájlból másolgatta ki a különböző platformok azonosítóit és belépett az adott weboldalra. A hacker a videóban elmagyarázta, hogyan kell a különböző weboldalakról kinyerni a felhasználók adatait, kapcsolatrendszerüket, fényképeket és a hozzá tartozó felhőben tárolt adatokat.

További adatokra derült fény

Ha a hacker már belépett egy felhasználói fiókba, megváltoztatta a felhasználói fiók beállításait, így az ott folyó levelezést egy e-mail-aggregátor szolgáltatás, az egyébként törvényesen használható Zimbra segítségével tudta a jövőben is nyomon követni. A hacker továbbá belépett a Google Takeout szolgáltatásba is, melynek segítségével a felhasználók exportálni tudják Google fiókjuk adatait, amely az általuk használt eszközök helyzetét is tartalmazza.

Ezzel a hacker a Google fiókhoz csatolt további szolgáltatáshoz is hozzáfért, és a megcélzott amerikai és görög tengerész esetében egyaránt megtudhatta, hogy milyen katonai egységben szolgálnak, hol laknak, hozzáfért olyan személyes adatokhoz, mint a szelfik, családi fotók, adóbevallás. A görög tiszt esetében egy görög egyetemi felhasználói fiókba és a görög tengerészet fizetési weboldalába is sikerült belépnie.

Újabb adathalász támadást készített elő

A támadó tovább dolgozott, és egy sor, első hallásra triviális weboldalra is bejelentkezett a két tengerész nevében, legyen az zenestreaming szolgáltatás, pizzarendelés, háztartással kapcsolatos közművek, bank, mobilszolgáltató, babatermékeket áruló weboldal. Ezeken az oldalakon további személyes adatok után kutatott.

Tanulságos és érdekes, hogy azokon a weboldalakon, ahol kétfaktoros azonosítást használt a megcélzott személy, a hacker nem jutott be, és nem is foglalkozott vele tovább, hanem a következő weboldalt vette sorba.

A kutatók szerint a személyes adatokat valószínűleg a katonaság további tagjai ellen előkészítendő, célzott adathalász támadáshoz gyűjtötték.