Videolardaki kurban hesaplarının bazıları ABD ve Yunan Donanması personelinin kişisel hesapları olmalarının yanı sıra videolar ABD dışişleri bakanlığı görevlilerine ve ismi bilinmeyen bir İran-Amerikan hayırseverine yönelik başarısız kimlik avı girişimlerini de içeriyor. Konuyla ilgilenen araştırmacılar “Videoların bazılarında hackerın kendileri tarafından oluşturulmuş hesapları yönettiği, diğerlerindeyse daha önceden ele geçirdikleri veya güvenlik duvarlarını aştıkları hesaplara erişimlerini test ettiği ve verileri dışarı sızdırdığı görülüyor” ifadeleri kullanıldı.
IBM araştırmacıları, videoları güvenlik ayarlarının yanlış yapılandırılması nedeniyle açıkta kalan sanal bir cloud sunucusunda bulduklarını söyledi. Bu yılın içinde birçok ITG18 domain’inin bulunduğu tespit edilen sunucuda 40 gigabayttan fazla veri vardı. Ele geçirilen video dosyaları, ITG18’in spear-phishing adı verilen bir yolla hedeflerin e-posta ve sosyal medya kimlik bilgilerine erişebildiğini, hesaplarda oturum açmak için bu bilgileri kullanarak kurbanların uyarılmasını engellemek için şüpheli oturum açma, bilgi bildirimlerini sildiklerini ve böylece rahat bir şekilde Google Drive’daki kişiler, fotoğraflar ve belgelere eriştiklerini gösteriyor.
Araştırmacılar “hacker kurbanların Chrome’dan ve ilişkililendirilmiş Android cihazlarından Google hesaplarının elde ettiği verileri kullanarak konum bilgilerini de içeren kayıtları dışa aktarmalarını sağlayan Google Takeout’ta (takeout.google.com) oturum açmış” bilgisini de not etti. Bunun yanı sıra Bandicam’ın ekran kayıt aracı kullanılarak çekilen videolar operasyonun arkasındaki hackerların kurbanlarının kimlik bilgilerini Zimbra’nın e-posta yazılımına bağladığını ve bu şekilde e-posta hesaplarını izleyip yönettiklerini gösteriyor.
Araştırmacılar saldırganların e-posta hesapları dışında bankalardan, video ve müzik akışına, pizza dağıtımından, bebek ürünleri gibi önemsiz şeylere kadar en az 75 farklı web sitesinde güvenliği ihlal edilmiş kullanıcı adları ve şifrelerinin uzun bir listesini tuttukları belirtildi. Diğer klipler, ITG18 grubunun Yahoo! hesaplarını kullanarak, içlerinden birisinde İran ülke koduna (+98) sahip bir telefon numarası bilgisi de var. Kurbanlarına kimlik avcılığı içerikli mesajlar gönderdiklerini ve bazı mesajların/e-postaların kurbanın gelen kutusuna ulaşmadığını gösteren geribildirimler aldığını gösteriyor.
Araştırmacılar tarafından “Videolarda hacker bir kurbanın kimlik bilgilerini doğruladığı sırada eğer çok faktörlü kimlik doğrulama (MFA) ile korunan bir sitede başarılı bir kimlik doğrulaması yapıyorsa, duraklıyor ve erişim elde etmeden başka birisinin kimlik bilgilerine geçiyor.” ifadeleri kullanıldı. ITG18 İran’ın jeopolitik çıkarlarına hizmet edecek, istihbarat toplama ve casusluk çalışmalarında kullanılması adına ABD’nin ve Ortadoğu’daki çeşitli askeri, diplomatik ve hükümet personelinin hedef alınmasında uzun bir geçmişe sahip.
Editör : SavunmaTR Haber Merkezi
