Dịch vụ tình báo phản ứng sự cố X-Force của IBM (IRIS) mới đây đã nắm giữ các bản ghi video đầy giá trị, có thời lượng gần 5 giờ của một nhóm tin tặc được nhà nước bảo trợ mà họ gọi là ITG18 (còn gọi là Charming Kitten, Phosphorous, hay APT35), mà chúng sử dụng để huấn luyện các nhân viên mới.
Một số nạn nhân trong các video bao gồm tài khoản cá nhân của các nhân viên Hải quân Hoa Kỳ và Hy Lạp, bên cạnh các nỗ lực lừa đảo không thành công nhằm vào các quan chức bộ ngoại giao Mỹ và một nhà từ thiện người Mỹ gốc Iran giấu tên.
"Một số video cho thấy tin tặc quản lý các tài khoản do nạn nhân tạo ra, trong khi các video khác cho thấy chúng chiếm quyền truy cập và làm mất dữ liệu bên trong các tài khoản bị xâm nhập trước đó", các nhà nghiên cứu cho biết.
Các chuyên gia của IBM cho biết họ đã tìm thấy các video trên một máy chủ đám mây riêng tư đã bị lộ do cấu hình sai về cài đặt bảo mật. Máy chủ này cũng được phát hiện đã lưu trữ một số tên miền ITG18 vào đầu năm nay, chứa hơn 40 GB dữ liệu.
Các tệp video được phát hiện cũng cho thấy ITG18 có quyền truy cập vào email và thông tin mạng xã hội của mục tiêu thông qua việc lừa đảo, sau đó chúng sử dụng thông tin này để đăng nhập vào tài khoản, xóa thông báo đăng nhập đáng ngờ để chúng không cảnh báo nạn nhân và xóa cả thông tin liên lạc, ảnh cùng tài liệu từ Google Drive.
"Tin tặc cũng có thể đăng nhập vào Google Takeout của nạn nhân, cho phép trích nội dung từ tài khoản Google của họ, bao gồm lịch sử vị trí, thông tin từ Chrome và các thiết bị Android được liên kết", các nhà nghiên cứu cho biết.
Bên cạnh đó, các video - được quay bằng công cụ ghi màn hình Bandicam - cũng cho thấy những kẻ đứng sau đã cài cắm thông tin xác thực của nạn nhân vào phần mềm cộng tác email của Zimbra, để giám sát và quản lý các tài khoản email bị xâm nhập.
Bên cạnh các tài khoản email, các nhà nghiên cứu cho biết họ tìm ra việc những kẻ tấn công sử dụng một danh sách dài các tên người dùng và mật khẩu bị xâm phạm trên ít nhất 75 trang web khác nhau, từ ngân hàng, trang video và phát nhạc, đến những thứ tầm thường như giao bánh pizza và các sản phẩm dành cho trẻ em.
Các clip khác thì cho thấy nhóm ITG18 tận dụng tài khoản Yahoo!, bao gồm số điện thoại có mã quốc gia của Iran (+98), sau đó sử dụng chúng để gửi email lừa đảo. Một số trong đó bị trả lại, cho thấy các email không đến được hộp thư đến của nạn nhân.
ITG18 từ lâu đã được biết tới là một nhóm tin tặc thường nhắm mục tiêu vào quân đội, các nhà ngoại giao và nhân viên chính phủ của Mỹ và Trung Đông để thu thập thông tin tình báo gián điệp, nhằm phục vụ lợi ích địa chính trị của Iran.
Các chuyên gia cũng đưa ra lời khuyên cho người dùng nói chung nhấn mạnh sự cần thiết phải bảo mật tài khoản bằng cách sử dụng mật khẩu mạnh hơn, bật xác thực hai yếu tố và luôn xem xét và giới hạn quyền truy cập vào các ứng dụng của bên thứ ba.
"Nhóm này đã cho thấy sự kiên trì trong hoạt động và tạo ra cơ sở hạ tầng mới một cách nhất quán, mặc dù đã có nhiều tiết lộ công khai và báo cáo rộng rãi về hoạt động của nó", các nhà nghiên cứu X-Force kết luận.
Tham khảo thehackernews