ጭቃማ ውሃ፡ የሙዲ ዋተር ሰርጎ ገቦች በቱርክ ወታደራዊ ኤሌክትሮኒክስ አምራች ላይ እንዴት እንዳጠቁ

የኢራን መንግስትን የሚደግፉ ጠላፊዎች ትልቅ ችግር ውስጥ ናቸው። በጸደይ ወቅት በሙሉ፣ ያልታወቁ ሰዎች በቴሌግራም ላይ “ሚስጥራዊ ፍንጮችን” አሳትመዋል - ከኢራን መንግስት ጋር ስለተገናኙ የኤፒቲ ቡድኖች መረጃ - ኦይል ሪግ и ሙዳይ ውሃ - መሳሪያዎቻቸው, ተጎጂዎች, ግንኙነቶች. ግን ስለ ሁሉም ሰው አይደለም. በሚያዝያ ወር የቡድን-IB ስፔሻሊስቶች የቱርክ ኮርፖሬሽን ASELSAN A.Ş ለቱርክ ታጣቂ ሃይሎች ታክቲካል ወታደራዊ ራዲዮ እና የኤሌክትሮኒክስ መከላከያ ዘዴዎችን የሚያመርት የፖስታ አድራሻ መውጣታቸውን አረጋግጠዋል። አናስታሲያ ቲኮኖቫቡድን-IB የላቀ የዛቻ ጥናት ቡድን መሪ፣ እና Nikita Rostovtsevበቡድን-IB ጁኒየር ተንታኝ በ ASELSAN A.Ş ላይ የተፈጸመውን የጥቃት አካሄድ ገልፀው ተሳታፊ ሊሆኑ እንደሚችሉ ገለፁ። ሙዳይ ውሃ.

በቴሌግራም በኩል ማብራት

የኢራን ኤፒቲ ቡድኖች መፍሰስ የጀመረው በአንድ የተወሰነ ላብ ዱክተጋን ነው። ይፋ አደረገ የስድስት APT34 መሳሪያዎች ምንጭ ኮዶች (የOilRig እና HelixKitten) በኦፕሬሽኖች ውስጥ የተካተቱትን የአይፒ አድራሻዎች እና ጎራዎች እንዲሁም ኢትሃድ ኤርዌይስ እና ኤሚሬትስ ናሽናል ኦይልን ጨምሮ በ66 የጠላፊዎች ተጠቂዎች ላይ ያለውን መረጃ አሳይቷል። Lab Doookhtegan በተጨማሪም የቡድኑን የቀድሞ ተግባራት እና የኢራን የማስታወቂያ እና የብሄራዊ ደህንነት ሚኒስቴር ሰራተኞች ከቡድኑ ስራዎች ጋር ግንኙነት አላቸው ስለተባሉት ሰራተኞች መረጃ እና መረጃ አውጥቷል። ኦይል ሪግ ከኢራን ጋር የተገናኘ የኤፒቲ ቡድን ሲሆን ከ2014 ጀምሮ ያለ እና የመንግስትን፣ የፋይናንስ እና ወታደራዊ ድርጅቶችን፣ እንዲሁም የኢነርጂ እና የቴሌኮሙኒኬሽን ኩባንያዎችን በመካከለኛው ምስራቅ እና በቻይና ላይ ያነጣጠረ ነው።

ኦይል ሪግ ከተጋለጠ በኋላ ፍንጣቂው ቀጠለ - የኢራን ሌላ ደጋፊ መንግስት ቡድን ስለ እንቅስቃሴ መረጃ MuddyWater, በጨለማ መረብ እና ቴሌግራም ላይ ታየ. ነገር ግን፣ ከመጀመሪያው ፍንጣቂ በተለየ፣ በዚህ ጊዜ የታተሙት የምንጭ ኮዶች ሳይሆን፣ የምንጭ ኮዶች ቅጽበታዊ ገጽ እይታዎችን፣ የቁጥጥር አገልጋዮችን፣ እንዲሁም የጠላፊዎችን የቀድሞ ተጠቂዎችን የአይፒ አድራሻዎችን ጨምሮ ይጥላል። በዚህ ጊዜ ግሪን ሌከርስ ጠላፊዎች ስለ MuddyWater መፍሰስ ኃላፊነቱን ወስደዋል። ከሙዲ ዋተር ስራዎች ጋር የተያያዙ መረጃዎችን የሚያስተዋውቁበት እና የሚሸጡባቸው የበርካታ የቴሌግራም ቻናሎች እና የጨለማ ድረ-ገጾች ባለቤት ናቸው።

ከመካከለኛው ምስራቅ የመጡ የሳይበር ሰላዮች

ሙዳይ ውሃ በመካከለኛው ምስራቅ ከ 2017 ጀምሮ ንቁ የሆነ ቡድን ነው. ለምሳሌ፣ የቡድን-IB ባለሙያዎች እንዳስታወቁት፣ ከየካቲት እስከ ኤፕሪል 2019፣ ሰርጎ ገቦች በቱርክ፣ ኢራን፣ አፍጋኒስታን፣ ኢራቅ እና አዘርባጃን ውስጥ በመንግስት፣ በትምህርት ድርጅቶች፣ በፋይናንሺያል፣ በቴሌኮሙኒኬሽን እና በመከላከያ ኩባንያዎች ላይ ያነጣጠሩ ተከታታይ የማስገር መልዕክቶችን አከናውነዋል።

የቡድኑ አባላት በPowerShell ላይ የተመሰረተ የእራሳቸውን እድገት የጀርባ በር ይጠቀማሉ፣ እሱም ይባላል ኃይል ስታቲስቲክስ. ይችላል:

• ስለ አካባቢያዊ እና ጎራ መለያዎች ፣ የሚገኙ የፋይል አገልጋዮች ፣ የውስጥ እና የውጭ አይፒ አድራሻዎች ፣ ስም እና ስርዓተ ክወና መረጃ መሰብሰብ ፣
• የርቀት ኮድ አፈፃፀምን ማካሄድ;
• በC&C በኩል ፋይሎችን ይስቀሉ እና ያውርዱ;
• በተንኮል አዘል ፋይሎች ትንተና ውስጥ ጥቅም ላይ የሚውሉ የማረም ፕሮግራሞችን መኖሩን ማወቅ;
• ተንኮል አዘል ፋይሎችን ለመተንተን ፕሮግራሞች ከተገኙ ስርዓቱን መዝጋት;
• ፋይሎችን ከአካባቢያዊ አንጻፊዎች መሰረዝ;
• ቅጽበታዊ ገጽ እይታዎችን ያንሱ;
• በማይክሮሶፍት ኦፊስ ምርቶች ውስጥ የደህንነት እርምጃዎችን ያሰናክሉ።

በአንድ ወቅት, አጥቂዎቹ ስህተት ሠርተዋል እና የ ReaQta ተመራማሪዎች ቴህራን ውስጥ የሚገኘውን የመጨረሻውን የአይፒ አድራሻ ማግኘት ችለዋል. በቡድኑ ጥቃት ከተሰነዘረባቸው ኢላማዎች እንዲሁም ከሳይበር ስለላ ጋር በተገናኘ ከያዘው ዓላማ አንፃር ቡድኑ የኢራን መንግስትን ጥቅም እንደሚወክል ባለሙያዎች ጠቁመዋል።

የጥቃት አመልካቾችሲ&ሲ፡

• ግላዲያተር[.] tk
• 94.23.148[.] 194
• 192.95.21[.] 28
• 46.105.84[.] 146
• 185.162.235[.] 182

ፋይሎች

• 09aabd2613d339d90ddbd4b7c09195a9
• cfa845995b851aacdf40b8e6a5b87ba7
• a61b268e9bc9b7e6c9125cdbfb1c422a
• f12bab5541a7d8ef4bbca81f6fc835a3
• a066f5b93f4ac85e9adfe5ff3b10bc28
• 8a004e93d7ee3b26d94156768bc0839d
• 0638adf8fb4095d60fbef190a759aa9e
• eed599981c097944fa143e7d7f7e17b1
• 21aebece73549b3c4355a6060df410e9
• 5c6148619abb10bb3789dcfb32f759a6

ቱርኪ በጥቃት ላይ ነች

እ.ኤ.አ. ኤፕሪል 10፣ 2019 የቡድን-IB ስፔሻሊስቶች በቱርክ ውስጥ በወታደራዊ ኤሌክትሮኒክስ መስክ ትልቁ ኩባንያ የሆነው የቱርክ ኩባንያ ASELSAN A.Ş የፖስታ አድራሻዎች ፍንጥቅ አግኝተዋል። ምርቶቹ ራዳር እና ኤሌክትሮኒክስ፣ ኤሌክትሮ ኦፕቲክስ፣ አቪዮኒክስ፣ ሰው አልባ ሲስተሞች፣ መሬት፣ ባህር ኃይል፣ የጦር መሳሪያዎች እና የአየር መከላከያ ዘዴዎችን ያጠቃልላል።

ከ POWERSTATS ማልዌር አዲስ ናሙናዎች ውስጥ አንዱን በማጥናት የቡድን-አይቢ ባለሙያዎች የሙዲ ዋተር ቡድን አጥቂዎች እንደ ማጥመጃ ሰነድ ተጠቅመውበታል በኮሴ ሳቩንማ ፣በመረጃ እና በመከላከያ ቴክኖሎጂዎች መስክ መፍትሄዎችን በሚያመርት ኩባንያ እና በቱቢታክ ቢልጌም መካከል የፍቃድ ስምምነት የኢንፎርሜሽን ደህንነት የምርምር ማዕከል እና የላቀ ቴክኖሎጂዎች። የ Koç Savunma እውቂያ ሰው በ Koç Bilgi ve Savunma Teknolojileri A.Ş የፕሮግራሞች ስራ አስኪያጅ ሆኖ የነበረው ታሂር ታነር ቲሚሽ ነበር። ከሴፕቴምበር 2013 እስከ ዲሴምበር 2018. በኋላ በ ASELSAN A.Ş መሥራት ጀመረ።

የማታለያ ሰነድ ናሙና
ተጠቃሚው ተንኮል አዘል ማክሮዎችን ካነቃ በኋላ የPOWERSTATS የኋላ በር ወደ ተጎጂው ኮምፒውተር ይወርዳል።

ለዚህ የማታለያ ሰነድ ሜታዳታ ምስጋና ይግባውና (MD5፡ 0638adf8fb4095d60fbef190a759aa9eተመራማሪዎች ተመሳሳይ እሴቶችን የያዙ ሶስት ተጨማሪ ናሙናዎችን ማግኘት ችለዋል፣ የተፈጠረበት ቀን እና ሰዓት፣ የተጠቃሚ ስም እና በውስጡ ያሉ ማክሮዎች፡-

• ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
• asd.doc (21aebece73549b3c4355a6060df410e9)
• F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)

የተለያዩ የማታለያ ሰነዶች ተመሳሳይ ሜታዳታ ቅጽበታዊ ገጽ እይታ

ከተገኙት ሰነዶች አንዱ ስም ያለው ListOfHackedEmails.doc የጎራ ንብረት የሆኑ 34 የኢሜይል አድራሻዎች ዝርዝር ይዟል @aselsan.com.tr.

የቡድን-IB ስፔሻሊስቶች በይፋ በሚገኙ ፍሳሾች ላይ የኢሜል አድራሻዎችን ፈትሸው 28ቱ ከዚህ ቀደም በተገኙ ፍንጣቂዎች ተጎድተዋል። የሚገኙትን የልቅሶች ቅልቅል መፈተሽ ከዚህ ጎራ ጋር የተያያዙ 400 የሚያህሉ ልዩ መግቢያዎችን እና ለእነሱ የይለፍ ቃሎችን አሳይቷል። አጥቂዎች ASELSAN A.Şን ለማጥቃት ይህን በይፋ የሚገኘውን መረጃ ተጠቅመው ሊሆን ይችላል።

የሰነዱ ቅጽበታዊ ገጽ እይታ ListOfHackedEmails.doc

ከ450 በላይ የገቡበት-የይለፍ ቃል ጥንዶች በአደባባይ ፍንጣቂዎች ዝርዝር ቅጽበታዊ ገጽ እይታ
ከተገኙት ናሙናዎች መካከል ርዕስ ያለው ሰነድም አለ F35-Specifications.docየ F-35 ተዋጊ ጀትን በመጥቀስ። የማጥመጃ ሰነዱ የአውሮፕላኑን ባህሪ እና ዋጋ የሚያመለክት የF-35 ባለብዙ ሚና ተዋጊ-ቦምብ መግለጫ ነው። የዚህ የማታለያ ሰነድ ርዕስ ቱርክ የኤስ-35 ስርዓቶችን ከገዛች በኋላ እና ስለ ኤፍ-400 መብረቅ II መረጃን ወደ ሩሲያ የማስተላለፏን ስጋት ተከትሎ ዩኤስ ኤፍ-35ዎችን ለማቅረብ ፈቃደኛ አለመሆኗን በቀጥታ ይዛመዳል።

ሁሉም የደረሰው መረጃ እንደሚያመለክተው የሙዲ ዋተር የሳይበር ጥቃቶች ዋና ኢላማዎች በቱርክ የሚገኙ ድርጅቶች ናቸው።

ግላዲያተር_CRK እና ኒማ ኒክጆ እነማን ናቸው?

ቀደም ብሎ፣ በማርች 2019፣ ግላዲያተር_CRK በሚል ቅጽል ስም በአንድ የዊንዶውስ ተጠቃሚ ተንኮል አዘል ሰነዶች ተገኝተዋል። እነዚህ ሰነዶች የPOWERSTATSን የኋላ በር ያሰራጩ እና ተመሳሳይ ስም ካለው የC&C አገልጋይ ጋር ተገናኝተዋል። ግላዲያተር[.] tk.

ይህ የተደረገው ተጠቃሚ ኒማ ኒክጆ መጋቢት 14፣ 2019 በትዊተር ላይ ከለጠፈ፣ ከMuddyWater ጋር የተገናኘውን የተደበቀ ኮድ ለመፍታት ከሞከረ በኋላ ሊሆን ይችላል። በዚህ ትዊተር ላይ በተሰጡት አስተያየቶች ተመራማሪው ይህ መረጃ ሚስጥራዊ ስለሆነ ለዚህ ማልዌር የመስማማት አመላካቾችን ማጋራት እንደማይችል ተናግሯል ። እንደ አለመታደል ሆኖ ልጥፉ አስቀድሞ ተሰርዟል፣ ነገር ግን የእሱ ዱካዎች በመስመር ላይ ይቀራሉ፡

ኒማ ኒክጆ በኢራን ቪዲዮ ማስተናገጃ ጣቢያዎች dideo.ir እና videoi.ir ላይ የግላዲያተር_CRK መገለጫ ባለቤት ነው። በዚህ ድረ-ገጽ ላይ ከተለያዩ አቅራቢዎች የፀረ-ቫይረስ መሳሪያዎችን ለማሰናከል እና የአሸዋ ሳጥኖችን ለማለፍ የPoC ብዝበዛዎችን ያሳያል። ኒማ ኒክጆ ስለራሱ እንደፃፈው የኔትወርክ ደህንነት ባለሙያ፣እንዲሁም ለኤምቲኤን ኢራንሴል ለተባለ የኢራን የቴሌኮሙኒኬሽን ኩባንያ የሚሰራ የተገላቢጦሽ መሃንዲስ እና የማልዌር ተንታኝ ነው።

በGoogle ፍለጋ ውጤቶች ውስጥ የተቀመጡ ቪዲዮዎች ቅጽበታዊ ገጽ እይታ፡-

በኋላ፣ በማርች 19፣ 2019፣ ተጠቃሚ ኒማ ኒኮጁ በማህበራዊ አውታረመረብ ትዊተር ላይ ቅጽል ስሙን ወደ ማልዌር ተዋጊ ቀይሮ፣ እንዲሁም ተዛማጅ ልጥፎችን እና አስተያየቶችን ሰርዘዋል። በቪዲዮ ማስተናገጃው dideo.ir ላይ ያለው የግላዲያተር_CRK መገለጫ እንዲሁ ተሰርዟል፣ ልክ በዩቲዩብ ላይ እንደነበረው፣ እና መገለጫው ራሱ N Tabrizi ተብሎ ተሰይሟል። ነገር ግን፣ ከአንድ ወር ገደማ በኋላ (ኤፕሪል 16፣ 2019) የትዊተር መለያ ኒማ ኒክጆ የሚለውን ስም እንደገና መጠቀም ጀመረ።

በጥናቱ ወቅት የቡድን-IB ስፔሻሊስቶች ኒማ ኒክጆ ከሳይበር ወንጀለኛ ተግባራት ጋር በተያያዘ ቀደም ብለው መጠቀሳቸውን ደርሰውበታል። እ.ኤ.አ. ነሐሴ 2014 የኢራን ካባሬስታን ብሎግ የኢራን ናስር ኢንስቲትዩት ከሳይበር ወንጀለኛ ቡድን ጋር የተገናኙ ግለሰቦችን መረጃ አሳትሟል። አንድ የFireEye ምርመራ ናስር ኢንስቲትዩት የ APT33 ተቋራጭ እንደነበረ እና እ.ኤ.አ. በ2011 እና 2013 ኦፕሬሽን አቢብል በተባለው ዘመቻ በDDoS በአሜሪካ ባንኮች ላይ በተፈፀመ ጥቃት ውስጥ መሳተፉን ገልጿል።

ስለዚህ በዚሁ ብሎግ ኢራናውያንን ለመሰለል ማልዌር በማዘጋጀት ላይ የነበረው Nima Nikju-Nikjoo እና የኢሜል አድራሻው፡ gladiator_cracker@yahoo[.]com ተጠቅሷል።

ከኢራን ናስር ኢንስቲትዩት ለሳይበር ወንጀለኞች የተሰጠ የመረጃ ቅጽበታዊ ገጽ እይታ፡-

የደመቀውን ጽሑፍ ወደ ሩሲያኛ መተርጎም፡- ኒማ ኒኪዮ - ስፓይዌር ገንቢ - ኢሜይል፡-.

ከዚህ መረጃ እንደሚታየው የኢሜል አድራሻው በጥቃቱ ውስጥ ጥቅም ላይ ከሚውለው አድራሻ እና ከተጠቃሚዎቹ ግላዲያተር_CRK እና ኒማ ኒክጆ ጋር የተያያዘ ነው።

በተጨማሪም፣ በጁን 15፣ 2017 የወጣው መጣጥፍ ኒክጆ የካቮሽ የደህንነት ማእከልን ማጣቀሻዎችን በስራው ቀጥል ላይ ለመለጠፍ ትንሽ ግድ የለሽ እንደነበር ገልጿል። ብላ አስተያየትየካቮሽ የጸጥታ ማእከል የመንግስት ደጋፊ የመረጃ ጠላፊዎችን የገንዘብ ድጋፍ ለማድረግ በኢራን ግዛት እንደሚደገፍ።

ኒማ ኒክጆ ስለሰራበት ኩባንያ መረጃ፡-

የትዊተር ተጠቃሚ የኒማ ኒኮጁ ሊንክድድ ፕሮፋይል ከ2006 እስከ 2014 የሰራበትን የመጀመሪያ የስራ ቦታውን እንደ ካቮሽ ሴኪዩሪቲ ሴንተር ይዘረዝራል። በስራው ወቅት የተለያዩ ማልዌሮችን አጥንቷል፣ እንዲሁም በተቃራኒው እና ከመደበቅ ጋር የተያያዙ ስራዎችን ሰራ።

በLinkedIn ላይ ስለሰራው ኩባንያ ኒማ ኒኮዎ መረጃ፡-

Muddywater እና ለራስ ከፍ ያለ ግምት

የMudyWater ቡድን ስለእነሱ የሚታተሙትን የመረጃ ደህንነት ባለሙያዎች ሁሉንም ዘገባዎች እና መልእክቶች በጥንቃቄ እንደሚከታተል እና ተመራማሪዎችን ከሽቱ ለማባረር ሆን ብሎ የውሸት ባንዲራዎችን መተዉ ጉጉ ነው። ለምሳሌ የመጀመርያ ጥቃታቸው በተለምዶ ከFIN7 ቡድን ጋር የተያያዘውን የዲ ኤን ኤስ ሜሴንጀር ጥቅም በማግኘታቸው ባለሙያዎችን አሳስተዋል። በሌሎች ጥቃቶች የቻይንኛ ገመዶችን ወደ ኮዱ አስገቡ።

በተጨማሪም, ቡድኑ ለተመራማሪዎች መልዕክቶችን መተው ይወዳል. ለምሳሌ፣ Kaspersky Lab MuddyWaterን በዓመቱ አስጊ ደረጃ 3ኛ ላይ ማስቀመጡን አልወደዱም። በዚሁ ቅጽበት፣ አንድ ሰው - ምናልባትም የMuddyWater ቡድን - የLK ጸረ-ቫይረስን የሚያሰናክል የብዝበዛ ፖሲ ወደ ዩቲዩብ ሰቅሏል። በጽሁፉ ስርም አስተያየት ሰጥተዋል።

የ Kaspersky Lab ጸረ-ቫይረስን ስለማሰናከል የቪዲዮው ቅጽበታዊ ገጽ እይታዎች እና ከዚህ በታች ያለው አስተያየት

ስለ "ኒማ ኒክጆ" ተሳትፎ የማያሻማ መደምደሚያ ማድረግ አሁንም አስቸጋሪ ነው. የቡድን-IB ባለሙያዎች ሁለት ስሪቶችን እያገናዘቡ ነው. ኒማ ኒክጆ፣ በቸልተኝነት እና በኔትወርኩ ላይ በተጨመረው እንቅስቃሴ ምክንያት ወደ ብርሃን የመጣው የMuddyWater ቡድን ጠላፊ ሊሆን ይችላል። ሁለተኛው አማራጭ ሆን ብሎ በሌሎች የቡድኑ አባላት ጥርጣሬን ከራሳቸው ለማራቅ ሲል “መጋለጥ” ነው። ያም ሆነ ይህ, ቡድን-IB ጥናቱን ይቀጥላል እና በእርግጠኝነት ውጤቱን ሪፖርት ያደርጋል.

የኢራን ኤ.ፒ.ቲዎች ከተከታታይ ፍንጣቂዎች እና ፍንጮች በኋላ ምናልባት ከባድ “መግለጫ” ያጋጥማቸዋል - ሰርጎ ገቦች መሳሪያቸውን በቁም ነገር ለመቀየር፣ ዱካቸውን ለማፅዳት እና በደረጃቸው ውስጥ “ሞሎችን” ለማግኘት ይገደዳሉ። ኤክስፐርቶች የተወሰነ ጊዜ እንደሚወስዱ አልገለፁም ፣ ግን ከጥቂት እረፍት በኋላ የኢራን የኤፒቲ ጥቃቶች እንደገና ቀጥለዋል።

ምንጭ: hab.com