Jak zhakować U.S. Navy? Znamy tajemnice irańskich operacji

Eksperci IBM X-Force Incident Response Intelligence Services (IRIS) odkryli szczegóły działania jednej z irańskich grup hakerskich znanej jako Charming Kitten. W ostatnim czasie jej cyberprzestępcy byli kojarzeni z cyberatakami wymierzonymi w koncerny farmaceutyczne oraz kampanię prezydencką w Stanach Zjednoczonych. Popełniony przez członków grupy błąd umożliwił specjalistom X-Force IRIS przeanalizować serwer z ponad 40 GB danych na temat ich operacji.

 „Kiedy zaczęliśmy przeglądać wszystkie dane i pliki wideo, nie mogliśmy uwierzyć w to, co widzimy” – podkreślił w wywiadzie dla CyberScoop Allison Wikoff, specjalista IBM. – „To odkrycie nadało zupełnie nowe znaczenie obserwacji”.

 W zidentyfikowanych plikach znajdowały się między innymi materiały szkoleniowe dla irańskich hakerów, w tym praktyczne poradniki wideo trwające od 2 minut do 2 godzin. Na jednym z nich operator Charming Kitten przeszukuje i wydobywa dane z różnych zainfekowanych kont członka U.S. Navy. „Trzy z odkrytych plików wideo ujawniają, że hakerzy Charming Kitten z powodzeniem włamali się do kilku kont powiązanych z członkiem marynarki wojennej Stanów Zjednoczonych” – precyzują specjaliści. W ten sposób irańska grupa była w stanie eksportować informacje dotyczące między innymi jednostki wojskowej, baz marynarki, a także dane osobowe, w tym miejsce zamieszkania czy osobiste zdjęcia, należące do członka U.S. Navy.  

„Chociaż nie możemy i nie będziemy komentować żadnego konkretnego przypadku, w U.S. Navy podkreślamy wszystkim pracownikom konieczność myślenia o cyberbezpieczeństwie za każdym razem, gdy logują się na dowolnej platformie lub koncie, oficjalnym lub osobistym” – skomentował sprawę rzecznik marynarki wojennej, cytowany przez CyberScoop.

W odkrytym przez zespół X-Force IRIS zbiorze danych znaleziono również irańskie numery telefonów powiązane z grupą Charming Kitten – wynika z raportu, opublikowanego na oficjalnym blogu IBM.

„Charming Kitten wykorzystała swoją infrastrukturę do atakowania wielu różnorodnych celów strategicznych, które służą zarówno interesom krótko-, jak i długoterminowym” – wskazują eksperci X-Force IRIS. Jak dodają, grupa działa od co najmniej 2013 roku. Jej cechą charakterystyczną jest zbieranie danych uwierzytelniających i przechwytywanie poczty elektronicznej poprzez ataki phishingowe wymierzone w strategiczne dla irańskiego rządu podmioty.

„IBM X-Force IRIS uważa ITG18 za zdeterminowaną grupę zagrożeń ze znacznymi inwestycjami w jej działalność” – czytamy na blogu firmy. – „Grupa wykazała się wytrwałością w działalności i konsekwentnym tworzeniem nowej infrastruktury”. Specjaliści wskazują, że operacje prowadzone przez irańską grupę w wielu przypadkach mogły zakończyć się sukcesem ze względu na fakt, że jej hakerzy posiadają bogate doświadczenie w zakresie prowadzenia tego typu kampanii.