Az IBM X-Force kutatói egy félrekonfigurált felhőszolgáltatáson találtak 40 gigabájtnyi oktatóvideót, mely az iráni állami támogatású ITG18 nevű csoporthoz köthető.
Az oktatóvideókat nem tették közzé az IBM munkatársai, csupán a tényt közölték. Az ITG18 nevű csoport az utóbbi időben gyógyszeripari vállalatokat és amerikai elnökségi kampányokat is támadott.
A videók összesen ötórányi, az idén májusban készült 2 perces–2 órás videókat tartalmaz, és az iráni hackerek működési módját mutatja be, illetve a különféle online szolgáltatókhoz különböző tananyagokat tartalmaztak.
A felvételeken látható például, ahogy egy ITG18-operátor az amerikai haditengerészet egyik tagjának feltört használói fiókjaiból adatokat nyer ki, és a többi között egy görög tengerésztiszt adataihoz is hozzáfértek. A felvételeken nem sikerült adathalász támadások is láthatóak egy meg nem nevezett iráni–amerikai filantróp és az amerikai külügyminisztérium tisztségviselői ellen. Ugyanakkor fény derült egyes ITG18-operátoroknak a személyére és telefonszámára is. A támadások kereszttüzében kizárólag az iráni kormány számára értékes személyek voltak, minden esetben adatszerzés volt a cél.
A nagyközönség számára is elérhető videófelvételek közül ötben, az „AOL.avi”, „Aol Contact.avi”, „Gmail.avi”, „Yahoo.avi”, „Hotmail.avi” nevű fájlokban a hacker egy notepad-fájlból másolgatta ki a különböző platformok azonosítóit és belépett az adott weboldalra. A hacker a videóban elmagyarázta, hogyan kell a weboldalakról kinyerni a használók adatait, kapcsolatrendszerüket, fényképeket és a hozzá tartozó felhőben tárolt adatokat.
Ha a hacker már belépett egy használói fiókba, megváltoztatta a használói fiók beállításait, így az ottani levelezést egy e-mail-aggregátor-szolgáltatás, az egyébként törvényesen használható Zimbra segítségével tudta a jövőben is nyomon követni. A hacker belépett a Google Takeout szolgáltatásba is; segítségével exportálni tudják Google fiókjuk adatait, amely az általuk használt eszközök helyzetét is tartalmazza.
Ezzel a hacker a Google-fiókhoz csatolt további szolgáltatáshoz is hozzáfért, és a megcélzott amerikai és görög tengerész esetében egyaránt megtudhatta, hogy milyen katonai egységben szolgál, hol lakik, hozzáfért olyan személyes adatokhoz, mint a szelfik, családi fotók, adóbevallás. A görög tiszt esetében egy görög egyetemi használói fiókba és a görög tengerészet fizetési weboldalába is sikerült belépnie.
A támadó tovább dolgozott, és egy sor, első hallásra triviális weboldalra is bejelentkezett a két tengerész nevében, legyen az zenestreaming szolgáltatás, pizzarendelés, háztartással kapcsolatos közművek, bank, mobilszolgáltató, babatermékeket áruló weboldal. Ezeken az oldalakon további személyes adatok után kutatott.
Tanulságos és érdekes, hogy azokon a weboldalakon, ahol kétfaktoros azonosítást használt a megcélzott személy, a hacker nem jutott be, és nem is foglalkozott vele tovább, hanem a következő weboldalt vette sorba.
A kutatók szerint a személyes adatokat valószínűleg a katonaság további tagjai ellen előkészítendő, célzott adathalász támadáshoz gyűjtötték.