Leak: IBM-Forscher finden 40 GByte an Hacker-Trainingsmaterial
Sicherheitsexperten einer IBM-Forschungsgruppe konnten sich Zugang zu Videos verschaffen, die tiefe Einblicke in das Vorgehen von iranischen Hackern erlauben.
(Bild: CarpathianPrince/Shutterstock.com)
Forscher einer IBM-Arbeitsgruppe namens IBM X Force Incident Response Intelligence Services, kurz: IRIS, befassen sich unter anderem mit Aktivitäten von Hackergruppen, die der Regierung im Iran nahestehen sollen. Eine der beobachteten Gruppen trägt den Namen ITG18.
Im Mai 2020 gelang den IBM-Forschern der Zugriff auf einen von ITG18 betriebenen Server. Er war drei Tage lang offenbar versehentlich so konfiguriert, dass die Sicherheitsexperten 40 GByte an Material, darunter etliche Videos sichern konnten. Das geht aus einem Blog-Beitrag hervor, den Allison Wikoff, Strategic Cyber Threat Analyst bei IRIS, in dem auf News rund um IT-Security spezialisierten Nachrichtenportal SecurityIntelligence veröffentlichte.
Aufschlussreiche Trainingsvideos
Das IRIS-Team entdeckte auf den Server zahlreiche Videos von 2 Minuten bis 2 Stunden Länge. Laut dem Blog-Beitrag handelt es sich um Aufzeichnungen des Bildschirmgeschehens, die vermutlich einen Tag vor dem Upload auf den Server mit einer Software namens Bandicam erstellt worden waren.
Die Videos wurden vermutlich zu Trainingszwecken erstellt. Sie zeigen, mit welchen Methoden die Hacker vorgehen, um fremde Social-Media-Konten und E-Mail-Postfächer anzugreifen. Unter anderem stießen die IRIS-Forscher auf fast fünf Stunden Videomaterial, das zeigt, wie bereits kompromittierte Konten durchsucht werden. Unter den Opfern seien ein Angehöriger der U.S. Navy sowie ein Personalverantwortlicher, der bereits seit fast 20 Jahren der griechischen Marine angehört. In den Accounts der beiden Militärangehörigen seien Informationen einsehbar gewesen, die für den Iran von strategischem Interesse seien, heißt es in dem Blog-Beitrag.
Weitere Videos zeigen erfolglose Phishing-Versuche, die sich gegen Beamte des US-amerikanischen Außenministeriums richteten. Außerdem erhielten die Sicherheitsexperten des IRIS-Teams auch Zugriff auf Telefonnummern sowie auf die Beschreibung fiktiver Personen, die mit der ITG18-Gruppe in Verbindung gebracht werden.
Responsible Disclosure
Der Gruppe ITG18 gehören Personen an, die auch in Gruppen namens Charming Kitten und Phosphorous aktiv sind. Sie alle operieren im Umfeld der iranischen Regierung. Die IRIS-Forscher werten es als großen Erfolg, einen derart detaillierten Einblick in die Arbeitsweise der Hacker erhalten zu haben. Die generelle Arbeitsweise des IRIS-Teams beschreibt ein 30-seitiger Bericht vom Januar dieses Jahres (PDF). Bevor die Forscher ihre Entdeckungen nun öffentlich machten, informierten Sie die betroffenen Institutionen über die beobachteten Aktivitäten und kompromittierten Konten.
(dwi)
