伊朗国家级黑客团队不慎泄露40GB的教学培训和网络攻击演示视频
IBM旗下安全团队发布分析报告揭露伊朗国家级黑客的攻击案例 , 报告源头是该黑客团队不慎泄露40G培训视频。
报告称代号为ITG18或者APT35的高级持续性威胁组织被证实为伊朗国家级黑客团队,运作由伊朗国家资金支持。
该黑客团队在最近配置的服务器中存在配置失误,导致团队用的培训教程、攻击案例和部分数据暴露在互联网上。
研究团队经过分析后发现泄露的数据主要是长达五个小时的培训视频,视频经过剪辑分成不同环节主要用来培训。
演示视频显示该黑客团队尝试针对美国国务院官员以及某慈善家展开钓鱼攻击,部分攻击还设计美国及希腊海军。
黑客主要使用与差事网络钓鱼获得攻击目标的电子邮件和社交网络凭据,然后再利用这些凭据登录受害者的账户。
培训视频还表示登录账号后应该删除可疑的登录通知以免被受害发现,额这里其实主要说的就是目标的谷歌邮箱。
窃取谷歌登录凭据后攻击者对用户保存在 Google Photos、Google Drive 等进行挨个检查看看是否有机密数据。
视频还提到黑客使用名为 Zimbra 的邮件协作软件来监控目标邮件往来,如有机会也会尝试在附件加载恶意代码。
在针对某个目标的攻击中,这个黑客团队还使用大量密码进行爆破,这些密码也都是来源于网上公开泄露的密码。
即用户在大量网站使用相同的账号和密码,然后其中一个网站的密码泄露,攻击者即拿来撞库试图爆破其他账号。
案例说攻击者对75个不同的网站使用目标的弱密码进行爆破 , 包括银行、音乐、电商网站、外卖配送等多个网站。
在发送钓鱼邮件方面该黑客团队主要使用雅虎邮箱,视频清晰地显示黑客团队使用伊朗号码注册的雅虎邮箱账号。
不过黑客发送的钓鱼邮件也并非都能成功,部分邮件在发送后即被检测到问题被拦截弹回并未抵达受害者的邮箱。
视频中黑客尝试利用弱密码爆破用户账户,但如果用户已经设置多因素认证即两步验证则操作员会立即暂停操作。
因为他们也无法绕过两步验证,所以凡是两步验证的都会被暂时搁置,操作员继续尝试新账号寻找没保护的账号。
最后IBM研究人员也强调,演示视频表明启用高强度密码和多因素认证非常重要,这可以有效保护用户账号安全。