De acordo com a IBM, um grupo de hackers iranianos, conhecido como Charming Kitten, partilhou acidentalmente as etapas de algumas das suas ações online.
“É muito raro existir a oportunidade de entender como se comporta um hacker atrás do teclado, e ainda mais rara é a existência de gravações, produzidas pelo próprio pirata informático, a mostrar todas as suas operações”, escreveu Allison Wikoff da IBM. “Mas foi exatamente isso que o grupo X-Force IRIS descobriu.”
O Charming Kitten (identificado como ITG18), um grupo vinculado ao Irão e um dos mais ativos, gravou algumas horas de vídeo de uma operação para roubar dados de e-mails de militares dos Estados Unidos e da Grécia. A X-Force encontrou, entre cerca de 40Gb de informações roubadas, cerca de cinco horas de vídeos.
Tudo não passou de um acidente. O grupo iraniano terá deixado um dos seus servidores na nuvem virtual privada (VPC) durante três dias. Investigadores da IBM analisaram, entre outros materiais, “vídeos de treino gravados por membros do grupo”. Os registos (uma espécie de tutoriais) revelaram vídeos que ensinavam como extrair dados de contas de e-mail, como contactos, imagens e arquivos dos serviços de armazenamento em nuvem.
A divulgação destes vídeos permitiu aos investigadores entender a metodologia usada pelos hackers para invadir contas da Google e Yahoo. Este grupo, que os investigadores acreditam que está vinculado ao Governo iraniano,tem como a lvo campanhas presidenciais dos EUA e funcionários do Governo norte-americano.
Além disso, nas últimas semanas, o ITG18 também visou empresas farmacêuticas, segundo o Ars Technica.
Ao conseguirem aceder às contas Google, os hackers poderiam obter uma infinidade de informações sobre os indivíduos-alvo, incluindo o login no Chrome, a geolocalização e todas as suas informações pessoais. “Isso pode ajudar o Irão a mapear as bases militares, ou até a obter informações sobre operações governamentais sensíveis”, explicou Allison Wikoff.
“Este tipo de ação não é um hack sofisticado. É o tipo de trabalho intensivo, mas relativamente simples, necessário numa operação de phishing em larga escala. No entanto, os vídeos são um tanto raros e mostram informações em primeira mão da espionagem cibernética patrocinada pelo Estado, que quase nunca é vista fora de uma agência de inteligência”, complementou Andy Greenberg, investigador da IBM.
Num dos vídeos, que não foram divulgados pela IBM, vê-se como é que o pirata informático consegue entrar numa conta comprometida do Gmail – uma conta falsa – para fins de demonstração. O hacker usa as credenciais obtidas de um texto e vincula-as ao software de correspondência Zimbra, que consegue gerir várias contas a partir de uma única interface.
Depois, usa as ferramentas do Zimbra para “fazer download da caixa de entrada da conta inteira”, eliminando rapidamente o alerta no Gmail da vítima, que avisa que as credenciais da conta foram alteradas. “O hacker também faz download dos contactos e das fotografias da conta do Google da vítima. Um segundo vídeo mostra um procedimento semelhante numa conta do Yahoo.”
Para Wikoff, o fator mais revelador destes vídeos foi a velocidade com que os hackers roubaram os dados da conta em tempo real: demoraram cerca de quatro minutos para a conta do Google e cerca de três para a conta do Yahoo.