Noticias

Un grupo de hackers iraní filtra por accidente sus propios videos de capacitación para sus nuevos reclutas

Investigadores de seguridad han encontrado 40GB de información almacenada de forma insegura en un servidor desprotegido. Todo indica que los archivos pertenecen a un grupo de ciberatacantes al que se acusa de tener vínculos con el gobierno de Irán, y contenían información para el entrenamiento de sus nuevos reclutas.

El grupo de hackers que se conoce como Charming Kitten, ITG18, APT 35, Phosphorous y NewsBeef, ha estado activo desde 2011 llevando a cabo en su mayoría operaciones de ciberespionaje a infraestructuras críticas, organizaciones, individuos y entidades gubernamentales de diferentes partes del mundo.

El servidor estuvo disponible durante tres días, lo que dio a los investigadores del equipo de Servicios de Inteligencia para Respuesta a Incidentes (IRIS) de IBM suficiente tiempo para descargar y analizar el contenido. IBM indicó que la filtración fue posible “debido a problemas operativos” que le permitieron analizar más de 40GB de información que quedaron expuestos.

Los datos contenían casi cinco horas de videos de entrenamiento para los nuevos reclutas del grupo de hackers. Los videos describían diferentes ciberataques y enseñaban cómo realizarlos. En su gran mayoría, mostraban cómo extraer datos de diferentes servicios, incluyendo contactos, imágenes, documentos y archivos en la nube.

También ofrecían demostraciones de ataques realizados y utilizaban de ejemplo ataques a dos miembros de las fuerzas navales de Estados Unidos y de Grecia. En aquellos casos se robó un sinfín de información personal a ambas víctimas, incluyendo archivos personales y datos financieros.

Haciendo referencia a estos dos incidentes, IBM afirmó: “IBM X-Force IRIS no ha encontrado evidencia de que se hayan comprometido las credenciales de las redes profesionales de los dos miembros del ejército (…). Sin embargo, es probable que el atacante haya estado buscando información específica de los militares y haya permitido que ITG18 extienda sus operaciones de espionaje más allá de EE. UU. y la fuerza naval de Grecia”.

Los videos filtrados no sólo sacaron a la luz las tácticas operativas del grupo cibercriminal, también expusieron los rostros y números de teléfono de algunos integrantes y personas vinculadas con el grupo, un dato muy valioso para las autoridades.

“A pesar de sus intenciones, el operador de ITG18 cometió errores que permitieron que el grupo ISIS de IBM consiguiera valiosa información sobre la manera en que este grupo actúa sobre sus objetivos y capacita a sus operadores”, dijo IBM. “IBM considera que ITG10 es un grupo determinado que ha hecho una inversión significativa en sus operaciones. El grupo ha demostrado persistencia en sus operaciones y la creación consistente de nuevas infraestructuras a pesar de las múltiples exposiciones públicas y frecuentes denuncias de sus actividades”.

Fuentes
Iran-Linked Hackers Accidentally Exposed 40 GB of Their Files • Security Week
Iran-linked APT35 accidentally exposed 40 GB associated with their operations • Security Affairs
Leaked videos offer rare behind-the-scenes look at Iranian APT operationSecurity, Hackers • SC Magazine

Un grupo de hackers iraní filtra por accidente sus propios videos de capacitación para sus nuevos reclutas

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada