Ối giời ơi, tự mình "troll" mình luôn rồi! Một lỗi kỹ thuật cực kỳ "lãng xẹt" đã vô tình làm lộ tẩy hoạt động bên trong của nhóm hacker, cung cấp một góc nhìn hiếm có về "hậu trường và phương pháp đào tạo" nhân viên của tổ chức tin tặc này. Kiểu như tự spoil bí mật của mình vậy!
Dịch vụ tình báo phản ứng sự cố X-Force của IBM (IRIS) vừa mới "flex" việc họ nắm trong tay các bản ghi video cực kỳ giá trị, dài gần 5 tiếng đồng hồ của một nhóm tin tặc được nhà nước bảo trợ mà họ gọi là ITG18 (còn có nickname là Charming Kitten, Phosphorous, hay APT35). Những video này được dùng để training nhân viên mới của bọn họ đó!
Trong số các "nạn nhân" xuất hiện trong video có cả tài khoản cá nhân của các nhân viên Hải quân Hoa Kỳ và Hy Lạp, bên cạnh đó là những nỗ lực lừa đảo không thành công nhằm vào các quan chức bộ ngoại giao Mỹ và một nhà từ thiện người Mỹ gốc Iran giấu tên.
"Một số video cho thấy tin tặc đang quản lý các tài khoản do nạn nhân tạo ra, trong khi các video khác thì lại show cảnh chúng chiếm quyền truy cập và làm mất dữ liệu bên trong các tài khoản bị hack trước đó", các nhà nghiên cứu tiết lộ.
Các chuyên gia của IBM cho biết họ đã "bắt thóp" những video này trên một máy chủ đám mây riêng tư bị lộ do cấu hình sai về cài đặt bảo mật. Máy chủ này cũng được phát hiện đã lưu trữ một số tên miền ITG18 vào đầu năm nay, chứa hơn 40 GB dữ liệu - một con số khủng khiếp!
Các clip được phát hiện cũng cho thấy ITG18 có quyền truy cập vào email và thông tin mạng xã hội của mục tiêu thông qua việc lừa đảo, sau đó chúng sử dụng thông tin này để đăng nhập vào tài khoản, xóa thông báo đăng nhập đáng ngờ để nạn nhân không bị cảnh báo, và còn xóa luôn cả thông tin liên lạc, ảnh cùng tài liệu từ Google Drive nữa. Thủ đoạn tinh vi vãi!
"Tin tặc cũng có thể đăng nhập vào Google Takeout của nạn nhân, cho phép trích nội dung từ tài khoản Google của họ, bao gồm lịch sử vị trí, thông tin từ Chrome và các thiết bị Android được liên kết", các nhà nghiên cứu cho biết thêm.
Ngoài ra, các video - được quay bằng công cụ ghi màn hình Bandicam - cũng cho thấy những kẻ đứng sau đã cài cắm thông tin xác thực của nạn nhân vào phần mềm cộng tác email của Zimbra, để giám sát và quản lý các tài khoản email bị xâm nhập. Cơ bản là theo dõi 24/7 luôn!
Không chỉ dừng lại ở email, các nhà nghiên cứu còn phát hiện việc những kẻ tấn công sử dụng một danh sách dài các tên người dùng và mật khẩu bị hack trên ít nhất 75 trang web khác nhau, từ ngân hàng, trang video và phát nhạc, đến những thứ tầm thường như giao bánh pizza và các sản phẩm dành cho trẻ em. Ủa vậy mà cũng hack sao?
Các clip khác thì cho thấy nhóm ITG18 tận dụng tài khoản Yahoo!, bao gồm số điện thoại có mã quốc gia của Iran (+98), sau đó sử dụng chúng để gửi email lừa đảo. Tuy nhiên một số email bị trả lại, chứng tỏ không đến được hộp thư đến của nạn nhân - phát này thất bại rồi bro ơi!
ITG18 từ lâu đã được biết tới là một nhóm tin tặc thường nhắm mục tiêu vào quân đội, các nhà ngoại giao và nhân viên chính phủ của Mỹ và Trung Đông để thu thập thông tin tình báo gián điệp, nhằm phục vụ lợi ích địa chính trị của Iran.
Các chuyên gia cũng đưa ra lời khuyên cho người dùng nói chung, nhấn mạnh sự cần thiết phải bảo mật tài khoản bằng cách sử dụng mật khẩu mạnh hơn, bật xác thực hai yếu tố và luôn xem xét cũng như giới hạn quyền truy cập vào các ứng dụng của bên thứ ba. Ghi nhớ kỹ nhé mọi người!
"Nhóm này đã cho thấy sự kiên trì trong hoạt động và tạo ra cơ sở hạ tầng mới một cách nhất quán, mặc dù đã có nhiều tiết lộ công khai và báo cáo rộng rãi về hoạt động của nó", các nhà nghiên cứu X-Force kết luận.
Nguồn: soha.vn