Iranse pro-staat hackers is in groot moeilikheid. Deur die lente het onbekende persone "geheime lekkasies" op Telegram gepubliseer - inligting oor APT-groepe wat met die Iranse regering verband hou - Olie-tuig и Modderige Water - hul gereedskap, slagoffers, verbindings. Maar nie oor almal nie. In April het Group-IB-spesialiste 'n lekkasie van e-posadresse van die Turkse korporasie ASELSAN A.Ş ontdek, wat taktiese militêre radiostasies en elektroniese verdedigingstelsels vir die Turkse gewapende magte vervaardig. Anastasia Tikhonova, Groep-IB Gevorderde Bedreigingsnavorsingspanleier, en Nikita Rostovtsev, Group-IB Junior Analyst, het die verloop van die aanval op ASELSAN A.Ş beskryf en 'n moontlike deelnemer gevind Modderige Water.
Flits via Telegram
Die "drein" van Iranse APT-groepe het begin met die feit dat 'n sekere Lab Dookhtegan die bronkodes van ses APT34-instrumente (ook bekend as OilRig en HelixKitten), het die IP-adresse en domeine wat by die transaksies betrokke was, onthul, asook data oor 66 slagoffers van kuberkrakers, waaronder Etihad Airways en Emirates National Oil. Lab Dookhtegan het ook beide data oor die groep se vorige bedrywighede en inligting oor werknemers van die Iranse Ministerie van Inligting en Nasionale Sekuriteit "uitgelek" wat na bewering met die groep se bedrywighede verbind word. OilRig is 'n Iran-gekoppelde APT-groep wat sedert 2014 bestaan en teiken regerings-, finansiële en militêre organisasies, sowel as energie- en telekommunikasiemaatskappye in die Midde-Ooste en China.
Ná die OilRig-blootstelling het die “lekkasies” voortgegaan – inligting oor die aktiwiteite van nog ’n pro-staatgroep uit Iran, MuddyWater, het op die donkernet en Telegram verskyn. Maar, anders as die eerste lekkasie, was dit hierdie keer nie die bronkodes wat gepubliseer is nie, maar stortings, insluitend skermkiekies van die bronne, beheerbedieners en IP-adresse van vorige slagoffers van kuberkrakers. Hierdie keer het Green Leakers verantwoordelikheid vir die MuddyWater-lek aanvaar. Hulle besit verskeie Telegram-kanale en donker webwerwe waar hulle data wat verband hou met MuddyWater-bedrywighede adverteer en verkoop.
Kuberspioene uit die Midde-Ooste
Modderige Water is 'n groep wat sedert 2017 in die lande van die Midde-Ooste bedrywig is. Volgens kundiges van Group-IB het kuberkrakers byvoorbeeld van Februarie tot April 2019 'n reeks uitvissingsposse gedoen wat gerig is op die regering, opvoedkundige organisasies, finansiële, telekommunikasie- en verdedigingsmaatskappye in Turkye, Iran, Afghanistan, Irak en Azerbeidjan.
Lede van die groep gebruik 'n agterdeur van hul eie ontwerp gebaseer op PowerShell, wat genoem word POWERSTATS. Hy kan:
- versamel data oor plaaslike en domeinrekeninge, beskikbare lêerbedieners, interne en eksterne IP-adres, OS-naam en argitektuur;
- voer afgeleë kode uitvoering uit;
- laai lêers op en af via C&C;
- bepaal die teenwoordigheid van ontfoutingsprogramme wat gebruik word in die ontleding van kwaadwillige lêers;
- skakel die stelsel af as programme vir die ontleding van kwaadwillige lêers gevind word;
- verwyder lêers van plaaslike dryf;
- neem skermkiekies;
- deaktiveer beskermende maatreëls van Microsoft Office-produkte.
Op 'n stadium het die aanvallers 'n fout gemaak en navorsers van ReaQta het daarin geslaag om die finale IP-adres, wat in Teheran geleë was, te kry. Gegewe die teikens wat deur die groep aangeval is, sowel as sy take wat verband hou met kuberspioenasie, het kenners voorgestel dat die groep die belange van die Iranse regering verteenwoordig.
Aanval aanwysersC&C:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Lêers:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye onder die geweer
Op 10 April 2019 het Group-IB-spesialiste 'n lekkasie van e-posadresse van die Turkse maatskappy ASELSAN A.Ş, die grootste militêre elektroniese maatskappy in Turkye, ontdek. Sy produkte sluit radar en avionika, elektro-optika, avionika, onbemande stelsels, grond-, vloot- en wapenstelsels, en lugverdedigingstelsels in.
Terwyl hulle een van die nuwe monsters van die POWERSTATS-wanware bestudeer het, het Group-IB-kundiges vasgestel dat die MuddyWater-aanvallersgroep 'n lisensie-ooreenkoms tussen Koç Savunma, 'n inligting- en verdedigingstegnologie-oplossingsmaatskappy, en Tubitak Bilgem, 'n inligtingsekuriteitsnavorsing, as 'n lokdokument gebruik het sentrum en gevorderde tegnologieë. Die kontakpersoon vir Koç Savunma was Tahir Taner Tımış, wat as Programbestuurder by Koç Bilgi ve Savunma Teknolojileri A.Ş gedien het. vanaf September 2013 tot Desember 2018. Later het hy vir ASELSAN A.Ş begin werk.
Voorbeeld van lokdokument
Nadat die gebruiker die kwaadwillige makro's geaktiveer het, word die POWERSTATS-agterdeur na die slagoffer se rekenaar afgelaai.
Danksy hierdie lokvaldokument se metadata (MD5: 0638adf8fb4095d60fbef190a759aa9e), kon die navorsers drie bykomende monsters vind wat identiese waardes bevat, insluitend die skeppingsdatum en -tyd, die gebruikersnaam en die lys van ingeslote makros:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc(21aebece73549b3c4355a6060df410e9)
- F35-Spesifikasies.doc (5c6148619abb10bb3789dcfb32f759a6)
Skermskoot van identiese metadata van verskeie heuningpot-dokumente
Een van die ontdekte dokumente genoem ListOfHackedEmails.doc bevat 'n lys van 34 e-posadresse wat aan die domein behoort @aselsan.com.tr.
Group-IB-spesialiste het die e-posadresse in die publiek beskikbare lekkasies nagegaan en gevind dat 28 van hulle gekompromitteer is in voorheen ontdekte lekkasies. Die nagaan van die mengsel van beskikbare lekkasies het ongeveer 400 unieke aanmeldings getoon wat met hierdie domein geassosieer word en wagwoorde daarvoor. Miskien het die aanvallers hierdie publiek beskikbare data gebruik om ASELSAN A.Ş aan te val.
Skermskoot van ListOfHackedEmails.doc
Skermskoot van 'n lys van meer as 450 bespeurde aanmeldwagwoordpare in openbare lekkasies
Onder die ontdekte monsters was ook 'n dokument met die titel F35-Spesifikasies.docverwys na die F-35 vegvliegtuig. Die lokdokument is 'n spesifikasie vir die F-35 multifunksionele vegbomwerper, wat die eienskappe van die vliegtuig en die prys aandui. Die onderwerp van hierdie lokdokument hou direk verband met die VSA se weiering om F-35's te verskaf ná Turkye se aankoop van die S-400-stelsels en die dreigement om inligting oor die F-35 Lightning II na Rusland oor te dra.
Al die data wat ontvang is, het aangedui dat organisasies wat in Turkye geleë is die hoofteiken van die MuddyWater-kuberaanvalle was.
Wie is Gladiyator_CRK en Nima Nikjoo?
Vroeër, in Maart 2019, is kwaadwillige dokumente ontdek wat deur een Windows-gebruiker onder die bynaam Gladiyator_CRK geskep is. Hierdie dokumente het ook die POWERSTATS-agterdeur versprei en aan 'n C&C-bediener met 'n soortgelyke naam gekoppel. gladiator[.]tk.
Dit is moontlik gedoen nadat Nima Nikjoo 'n Twitter-plasing op 14 Maart 2019 geplaas het waarin hy probeer om verduisterde kode wat met MuddyWater verband hou, te dekodeer. In die kommentaar op hierdie twiet het die navorser gesê dat hy nie die aanwysers van kompromie vir hierdie wanware kan deel nie, aangesien hierdie inligting vertroulik is. Ongelukkig is die inskrywing reeds uitgevee, maar die spore daarvan bly op die netwerk:
Nima Nikjoo is die eienaar van die Gladiyator_CRK-profiel op die Iranse video-gasheerwebwerwe dideo.ir en videoi.ir. Op hierdie webwerf demonstreer hy PoC-uitbuiting om antivirus-nutsgoed van verskeie verskaffers uit te skakel en sandboxe te omseil. Oor homself skryf Nima Nikjoo dat hy 'n netwerksekuriteitspesialis is, sowel as 'n omgekeerde ingenieur en wanware-ontleder wat vir MTN Irancell, 'n Iranse telekommunikasiemaatskappy, werk.
Skermskoot van gestoorde video's in Google-soekresultate:
Later, op 19 Maart 2019, het Twitter-gebruiker Nima Nikjoo sy bynaam verander na Malware Fighter en verwante plasings en opmerkings uitgevee. Die Gladiyator_CRK-profiel op die video wat dideo.ir aanbied, is ook uitgevee, sowel as op YouTube, en die profiel self is herdoop na N Tabrizi. Byna 'n maand later (16 April 2019) het die Twitter-rekening egter weer die naam Nima Nikjoo begin gebruik.
Tydens die navorsing het Group-IB-spesialiste gevind dat Nima Nikjoo reeds genoem is in verband met kuberkriminele aktiwiteite. In Augustus 2014 het die Iran Khabarestan-blog inligting gepubliseer oor individue wat verband hou met die Iranse Nasr Institute-kuberkriminele groep. Een van FireEye se ondersoeke het gesê dat Nasr Institute 'n APT33-kontrakteur was en ook betrokke was by DDoS-aanvalle op Amerikaanse banke tussen 2011 en 2013 as deel van 'n veldtog genaamd Operasie Ababil.
So dieselfde blog het Nima Nikju-Nikjoo genoem, wat wanware ontwikkel het om op Iraniërs te spioeneer, en sy e-posadres is: gladiyator_cracker@yahoo[.]com.
Skermskoot van data toegeskryf aan kubermisdadigers van die Iranse Nasr-instituut:
Vertaling van die geselekteerde in Russies: Nima Nikio - Spyware-ontwikkelaar - E-posadres:.
Soos uit hierdie inligting gesien kan word, word die e-posadres geassosieer met die adres wat in die aanvalle en gebruikers Gladiyator_CRK en Nima Nikjoo gebruik is.
Daarbenewens het die artikel van 15 Junie 2017 gesê dat Nikjoo blykbaar ietwat slordig was om skakels na die Kavosh Security Centre-maatskappy in sy CV te publiseer. Eet dat die Kavosh-veiligheidsentrum deur die Iranse staat ondersteun word om pro-regering-krakers te finansier.
Inligting oor die maatskappy waarvoor Nima Nikjoo gewerk het:
Twitter-gebruiker Nima Nikjoo se LinkedIn-profiel lys Kavosh Security Centre as sy eerste werk, waar hy van 2006 tot 2014 gewerk het. Tydens sy werk het hy verskeie wanware bestudeer, en ook met omgekeerde en verduistering-verwante werk te doen gehad.
Inligting oor die maatskappy waarvoor Nima Nikjoo op LinkedIn gewerk het:
MuddyWater en opgeblase selfbeeld
Dit is eienaardig dat die MuddyWater-groep al die verslae en boodskappe van inligtingsekuriteitskundiges wat daaroor gepubliseer word, noukeurig monitor en selfs aanvanklik doelbewus vals vlae gelaat het om navorsers van die spoor af te gooi. Byvoorbeeld, hul eerste aanvalle het kundiges mislei toe hulle die gebruik van DNS Messenger ontdek het, wat algemeen met die FIN7-groep geassosieer word. In ander aanvalle het hulle stringe in Chinees in die kode ingevoeg.
Boonop is die groep baie lief daarvoor om boodskappe aan die navorsers oor te laat. Hulle het byvoorbeeld nie gehou van die feit dat Kaspersky Lab MuddyWater in die 3de plek geplaas het in sy bedreigingsgradering vir die jaar nie. Terselfdertyd het iemand - vermoedelik die MuddyWater-groep - 'n PoC-uitbuiting op YouTube gelaai wat die LK-antivirus deaktiveer. Hulle het ook 'n opmerking onder die artikel gelaat.
Skermkiekies van die video oor die deaktivering van Kaspersky Lab-antivirus en die opmerking daaronder:
Tot dusver is dit moeilik om ’n ondubbelsinnige gevolgtrekking te maak oor die betrokkenheid van “Nima Nikjoo”. Groep-IB-kundiges oorweeg twee weergawes. Nima Nikjoo kan inderdaad 'n kuberkraker van die MuddyWater-groep wees wat aan die lig gekom het weens sy nalatigheid en verhoogde aanlynaktiwiteit. Die tweede opsie is dat hy spesiaal deur ander lede van die groep “verlig” is om agterdog van hulself af te lei. Group-IB gaan in elk geval voort met sy navorsing en sal beslis sy resultate rapporteer.
Wat Iranse APT's betref, sal hulle na 'n reeks lekkasies en lekkasies waarskynlik 'n ernstige "ontlonting" in die gesig staar - kuberkrakers sal gedwing word om hul gereedskap ernstig te verander, spore op te ruim en moontlike "molle" in hul geledere te vind. Kenners het nie uitgesluit dat hulle selfs 'n time-out sou neem nie, maar na 'n kort pouse het die Iranse APT-aanvalle weer voortgegaan.
Bron: will.com