האקרים איראנים טעו בהגדרות השרת וחשפו בטעות 40GB של סרטונים

צוות אבטחת מידע של IBM עקב אחרי הקבוצה האיראנית וגילה ”תיבת אוצר” 40 גיגה-בייט של מידע, כולל סרטוני ההדרכה

מזינים Credentials בחשבון יאהו, מתוך הסרטונים שמצאו החוקרים | מקור: IBM

דליפות מידע ופרצות אבטחה כבר מזמן הפכו לחלק מחיינו, ורק בשבוע שעבר קיבלנו לכך הוכחה שגם החברות הגדולות חשופות להן. אבל מה קורה כשזה הפוך, וההאקרים הם אלו שעושים את הפדיחה?

40 גיגה-בייט של מידע חשוף

צוות אבטחת המידע X-Force (אהבנו את השם) של IBM חשף כי הצליח לשים את ידיו על חמש שעות של הקלטות מסך ממחשביהם של האקרים איראנים מקבוצת APT35, המוכרת גם כ-Charming Kitten או IGT18. על פי חוקרי IBM, מדובר בקבוצת האקרים השייכת למשמרות המהפכה האיראניות ונחשבת לאחת הפעילות בעולם.

הסרטונים שגילה הצוות של IBM היו חלק מ-40 גיגה-בייט של מידע שמצאו, כולל מידע שככל הנראה נגנב ממחשביהם של קורבנות קבוצת ההאקרים. על פי הדוח של צוות האבטחה, הסרטונים שנמצאו הראו כיצד אחד מחברי APT35 עבר על המידע שהושג ממחשביהם של חייל בחיל הים האמריקאי וקצין בצבא יוון – כדי להשיג מידע על מבצעים צבאיים היכולים לעניין את האיראנים.

מהמידע שמצאו חוקרי IBM עולה עוד כי קבוצת ההאקרים ניסתה וכשלה בניסיונות של פישינג שכוונו נגד עובדי מחלקת המדינה האמריקאית ונגד פילנתרופ אמריקאי-איראני ששמו לא נחשף. בנוסף מצאו החוקרים שמות ומספרי טלפון של דמויות פיקטיביות שיצרו לעצמם חברי קבוצת ההאקרים.

מקור: IBM

על פי הצוות של IBM, הסרטונים שנמצאו שימשו להדרכת חברים בקבוצה על פריצה לחשבונות שונים של הקורבנות, בהם חשבונות אימייל כמו ג’ימייל וכללו סרטונים באורכים משתנים של בין שתי דקות לשעתיים. בוידאו ניתן לראות כיצד ההאקרים פועלים כדי להוציא מחשבונות המייל כמה שיותר מידע אפשרי, ולאחר מכן עוברים לסרוק שירותי ענן המקשורים לאותם חשבונות מייל.

באחד הסרטונים נראה כיצד ההאקר מייצא כל מידע אפשרי על הקורבן שלו – כמו אנשי קשר, תמונות ומסמכים מחשבון הגוגל דרייב שלו. בנוסף הוא נראה משתמש בפיצ’ר ה-Takeout של גוגל – המאפשר הורדה של כל התוכן המקושר לחשבון הגוגל, כולל היסטוריית מיקומים מכל המכשירים שקושרו אליו.

עוד רואים בסרטונים, שצולמו בעזרת תוכנה בשם Bandicam, כי ההאקר משנה את הגדרות האבטחה של חשבונות המייל השונים – כולל ביטול שליחת התראות על כניסה חשודה לחשבון – ומשייך את כולם לתוכנת אגרגציה של מיילים בשם Zimbra, כדי לקבל גישה לכולם ממקום אחד.

אז איך בכלל נמצאה “תיבת האוצר” הזו?

אבל מתברר שההאקרים האיראנים נפלו במקומות שבהם נופלים בדרך כלל הקורבנות שלהם. הצוות של IBM אמר כי מצא את כמות המידע הענקית הזו בשרת וירטואלי בענן שנשאר חשוף בגלל תקלה בהגדרות האבטחה שלו. השרת שימש מוקדם יותר השנה לאחסון כמה דומיינים הקשורים לקבוצת הפריצה.

הצוות של IBM עקב אחרי פעולות קבוצת ההאקרים האיראנית לאחר שבשבועות האחרונים שמה נקשר עם ניסיונות תקיפה של קמפיינים לנשיאות ארצות הברית (גם של טראמפ וגם של ביידן) וניסיון תקיפה של עובדים בחברת הפארמה האמריקאית Gilead, העובדת על חיסון לקורונה.

בצוות של IBM אמרו על המידע שמצאו: “נדירות ההזדמנויות להבין איך ההאקר מתנהל מאחורי המקלדת, ונדירות אף יותר ההקלטות שלהם פועלים. תקלות ה-OpSec של חבר ב-ITG18 חשפו מבט מאחורי הקלעים אל השיטות של הקבוצה, ואולי אף לפעולות שלהם כחלק ממבצע רחב יותר שהיה בעיצומו”.

ב-IBM עדכנו את כל קורבנות התקיפה ואלו שהיו תחת מתקפה מטעם קבוצת ההאקרים האיראנים לאחר שניתחו את כל המידע שהוציאו מהשרת שלה.

צוות החוקרים של IBM מדגיש בסוף הדיווח על הגילוי שלו את החשיבות באימות דו-שלבי, במיוחד בהתחשב בעובדה שזה הגורם המרכזי שעצר למעשה את ההאקרים מלתקוף מספר קורבנות. בנוסף המליצו בצוות של IBM על החלפה תקופתית של סיסמאות, שימוש במנהלי סיסמאות ובדיקת הגדרות חשבון המייל שלכם, כולל צמצום הגישה שיש לאפליקציות צד ג’ למייל.

Geektime Code

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: Oshry@geektime.co.il

הגב

16 תגובות על "האקרים איראנים טעו בהגדרות השרת וחשפו בטעות 40GB של סרטונים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Ckeaner
Guest

תיקון בכותרת: אם הם טעו, אז כמובן שזה בטעות

ohmama
Guest

רוצה לאמר: טעות בכותרת

משועמם
Guest

כמה קטנוני אפשר להיות

אבי
Guest

מעניין כמה דלתות אחוריות יש בשרתים בהם משתמשים האיראנים

ארדואן
Guest

אני בטוח שאצל הטורקים יש יותר דלתות אחוריות

סתם אחת
Guest

בדיחה על אנאלי בכלא טורקי?

keep them coming
Guest

כתבה מעניינת מאוד- חבל שאי אפשר לעשות לייק לכתבה

M N
Guest

נהניתי מאוד

האקר איראני
Guest

נעניתי מאוד

מאיר
Guest

היום היה ניסיון לתקוף את אתר לוח כל ישראל.התקיפה זוהתה מיד ונחסמה

משה
Guest

נראה לך?
סתם חופר, עזוב אותך מכל השטויות האלה

אדיר
Guest

שלא אמור להיות חסוי?

מוטי
Guest

וואו!

תומר
Guest

האקרים פח אשפה! מי פורץ עם ווינדוס בכלל, חבורה של אפסים!!!

שמעון
Guest

אולי תתנו אפשרות לצפות בחומר לפחות במקום לעשות בז ברשת

מידע
Guest

יכול להיות שפרצו לו לחשבון ועכשיו מפרסמים לו את הפרטים

wpDiscuz

תגיות לכתבה: