伊朗国家黑客在截获的视频中被抓获

伊朗国家黑客最近被抓获，因为研究人员发现了超过40 GB的数据，其中包括培训视频，展示了特工如何侵入对手的在线账户，然后掩盖他们的踪迹。

这些特工属于ITG18，这是一个与另一个组织重叠的黑客组织，该组织也被称为迷人的猫咪和磷，研究人员认为该组织也代表伊朗政府工作。长期以来，该联盟一直针对美国总统竞选活动和美国政府官员。最近几周，ITG18也瞄准了制药公司。研究人员通常认为它是一个坚定而坚持不懈的群体，在新工具和基础设施上投入了大量资金。

今年5月，IBM的X-Force IRIS安全团队获得了40 GB的数据缓存，因为它被上传到一个服务器，该服务器托管了今年早些时候ITG18使用的多个域。最能说明问题的内容是培训视频，这些视频捕捉了该组织的战术、技术和程序，当时该组织成员对属于对手的电子邮件和社交媒体账户进行了真正的黑客攻击。

近5个小时的视频显示，操作员搜索并泄露了属于两个人的多个被泄露账户的数据，一个是美国海军成员，另一个是希腊海军的一名经验丰富的人事官员。

针对美国国务院官员和一名伊朗裔美国慈善家的网络钓鱼尝试失败。这些失败是电子邮件退回的结果，因为它们看起来很可疑。

这些数据的收集是一场潜在的情报政变，因为它可以让研究人员(可能还有美国官员)识别出一个正在稳步提高其黑客能力的对手的优势和劣势。然后，防御者可以改善旨在将攻击者挡在门外的保护措施。鸟瞰也可能暗示了未来ITG18运营的计划。

IBM研究人员艾莉森·威科夫(Allison Wikoff)和理查德·爱默生(Richard Emerson)在周四发表的一篇文章中写道：“很少有机会了解操作员在键盘后面的行为，更难得的是操作员自己制作的显示他们操作的录音。”但这正是X-Force IRIS在一家ITG18运营商身上发现的，该运营商的OPSEC故障为他们的方法提供了一个独特的幕后调查，并可能为可能正在进行的更广泛的行动提供跑腿工作。“。

这些视频是使用一种名为Bandicam的桌面录制工具拍摄的，时间从两分钟到两个小时不等。时间戳显示，这些视频是在上传前一天左右录制的。其中五个视频显示，操作员将密码粘贴到被泄露的账户中，然后演示如何从存储在那里和相关云存储中高效地渗出联系人、照片和其他数据。

这段视频还显示了组成员在每个被攻破的账户的安全配置中更改的设置。这些变化允许黑客将一些账户连接到Zimbra，这是一个可以将多个账户聚合到单个界面的电子邮件协作程序。使用Zimbra使同时管理被黑客攻击的电子邮件帐户成为可能。

另外三段视频显示，运营商已经侵入了与一名美国海军士兵和一名希腊海军军官有关的几个账户。ITG18成员拥有似乎是他们的个人电子邮件和社交媒体账户的凭据。在许多情况下，黑客删除了通知目标他们的账户有可疑登录的电子邮件。

袭击者还访问了显示海军人员所在军事单位、海军基地、住所、个人照片和视频以及税务记录的文件。运营商有条不紊地梳理了目标公司的其他账户，包括视频流媒体网站、披萨外卖服务、信用报告机构、移动运营商等上的账户。

IBM的研究人员写道：“运营商似乎一直在小心翼翼地收集有关个人的琐碎社交信息。”“总体而言，运营商试图验证这两个人至少75个不同网站的凭据。

其他视频显示了伊朗的电话号码和在他们的行动中使用的假角色ITG18成员的其他个人资料细节。视频还显示，有人试图向这位伊朗裔美国慈善家和两名可能的国务院官员发送钓鱼电子邮件。

另一个可能有用的发现是：当操作员使用密码成功获得对受多因素身份验证保护的帐户的初始访问权限时，他们将不再继续操作。这表明，“魅力小猫”之前披露的绕过多因素身份验证的能力是有限的。

IBM获得的幕后账户展示了间谍黑客挥舞的双刃剑。虽然他们的行动通常会提供有关目标的有用信息，但目标也可以通过间谍对间谍的方式扭转局面。