يواجه المتسللون الإيرانيون الموالون للحكومة مشكلة كبيرة. طوال فصل الربيع، نشر مجهولون "تسريبات سرية" على تيليجرام - معلومات عن مجموعات APT المرتبطة بالحكومة الإيرانية - OilRig и المياه الموحلة - أدواتهم، وضحاياهم، واتصالاتهم. ولكن ليس عن الجميع. في أبريل، اكتشف المتخصصون في Group-IB تسربًا للعناوين البريدية للشركة التركية ASELSAN A.Ş، التي تنتج أجهزة راديو عسكرية تكتيكية وأنظمة دفاع إلكترونية للقوات المسلحة التركية. اناستازيا تيخونوفا، قائد فريق أبحاث التهديدات المتقدمة لدى Group-IB، و نيكيتا روستوفتسيفوصف محلل مبتدئ في Group-IB مسار الهجوم على ASELSAN A.Ş ووجد مشاركًا محتملاً المياه الموحلة.
الإضاءة عبر التليجرام
بدأ تسريب مجموعات APT الإيرانية بحقيقة وجود مختبر معين يدعى Lab Doukhtegan كشفت أكواد المصدر لستة أدوات APT34 (المعروفة أيضًا باسم OilRig وHelixKitten) عن عناوين IP والنطاقات المشاركة في العمليات، بالإضافة إلى بيانات عن 66 ضحية للقراصنة، بما في ذلك طيران الاتحاد وشركة نفط الإمارات الوطنية. كما قام Lab Doookhtegan بتسريب بيانات حول عمليات المجموعة السابقة ومعلومات حول موظفي وزارة الإعلام والأمن القومي الإيرانية الذين يُزعم أنهم مرتبطون بعمليات المجموعة. OilRig هي مجموعة APT مرتبطة بإيران وموجودة منذ عام 2014 تقريبًا وتستهدف المؤسسات الحكومية والمالية والعسكرية، بالإضافة إلى شركات الطاقة والاتصالات في الشرق الأوسط والصين.
بعد الكشف عن OilRig، استمرت التسريبات - ظهرت معلومات على شبكة الإنترنت المظلمة وTelegram حول أنشطة مجموعة أخرى مؤيدة للدولة من إيران - MuddyWater. ومع ذلك، على عكس التسريب الأول، لم يتم نشر أكواد المصدر هذه المرة، بل عمليات تفريغ، بما في ذلك لقطات شاشة لأكواد المصدر وخوادم التحكم، بالإضافة إلى عناوين IP لضحايا المتسللين السابقين. هذه المرة، تحمل قراصنة Green Leakers المسؤولية عن تسرب MuddyWater. إنهم يمتلكون العديد من قنوات Telegram ومواقع الويب المظلم حيث يعلنون ويبيعون البيانات المتعلقة بعمليات MuddyWater.
جواسيس سايبر من الشرق الأوسط
المياه الموحلة هي مجموعة نشطة منذ عام 2017 في الشرق الأوسط. على سبيل المثال، كما لاحظ خبراء Group-IB، في الفترة من فبراير إلى أبريل 2019، نفذ المتسللون سلسلة من رسائل التصيد الاحتيالي التي استهدفت الحكومات والمؤسسات التعليمية والشركات المالية والاتصالات والدفاع في تركيا وإيران وأفغانستان والعراق وأذربيجان.
يستخدم أعضاء المجموعة بابًا خلفيًا للتطوير الخاص بهم يعتمد على PowerShell، وهو ما يسمى إحصائيات الطاقة. هو يستطيع:
- جمع البيانات حول الحسابات المحلية وحسابات المجال، وخوادم الملفات المتاحة، وعناوين IP الداخلية والخارجية، والاسم وهندسة نظام التشغيل؛
- تنفيذ تنفيذ التعليمات البرمجية عن بعد؛
- تحميل وتنزيل الملفات عبر C&C؛
- الكشف عن وجود برامج التصحيح المستخدمة في تحليل الملفات الضارة؛
- قم بإيقاف تشغيل النظام في حالة العثور على برامج لتحليل الملفات الضارة؛
- حذف الملفات من محركات الأقراص المحلية؛
- التقاط لقطات الشاشة؛
- تعطيل التدابير الأمنية في منتجات Microsoft Office.
وفي مرحلة ما، ارتكب المهاجمون خطأً وتمكن باحثون من ReaQta من الحصول على عنوان IP النهائي، والذي كان موجودًا في طهران. وبالنظر إلى الأهداف التي هاجمتها الجماعة، فضلا عن أهدافها المتعلقة بالتجسس السيبراني، اقترح الخبراء أن المجموعة تمثل مصالح الحكومة الإيرانية.
مؤشرات الهجومنسخة:
- المصارع[.]tk
- 94.23.148 [.] 194
- 192.95.21 [.] 28
- 46.105.84 [.] 146
- 185.162.235 [.] 182
ملفات:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
تركيا تتعرض للهجوم
في 10 أبريل 2019، اكتشف متخصصون في Group-IB تسربًا للعناوين البريدية لشركة ASELSAN A.Ş التركية، وهي أكبر شركة في مجال الإلكترونيات العسكرية في تركيا. وتشمل منتجاتها الرادار والإلكترونيات، والإلكترونيات الكهربائية، وإلكترونيات الطيران، والأنظمة غير المأهولة، والأنظمة البرية والبحرية، والأسلحة، وأنظمة الدفاع الجوي.
من خلال دراسة إحدى العينات الجديدة من البرامج الضارة POWERSTATS، قرر خبراء Group-IB أن مجموعة المهاجمين MuddyWater استخدمت كطعم لتوثيق اتفاقية ترخيص بين شركة Koç Savunma، وهي شركة تنتج حلولاً في مجال تكنولوجيا المعلومات والدفاع، وشركة Tubitak Bilgem. ، مركز أبحاث أمن المعلومات والتقنيات المتقدمة. كان مسؤول الاتصال بـ Koç Savunma هو طاهر تانر تيميش، الذي شغل منصب مدير البرامج في Koç Bilgi ve Savunma Teknolojileri A.Ş. من سبتمبر 2013 إلى ديسمبر 2018. وفي وقت لاحق بدأ العمل في شركة ASELSAN A.Ş.
نموذج وثيقة شرك
بعد أن يقوم المستخدم بتنشيط وحدات الماكرو الضارة، يتم تنزيل الباب الخلفي POWERSTATS إلى كمبيوتر الضحية.
بفضل البيانات الوصفية لهذه الوثيقة الخادعة (MD5: 0638adf8fb4095d60fbef190a759aa9e) تمكن الباحثون من العثور على ثلاث عينات إضافية تحتوي على قيم متطابقة، بما في ذلك تاريخ ووقت الإنشاء، واسم المستخدم، وقائمة وحدات الماكرو الواردة:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-المواصفات.doc (5c6148619abb10bb3789dcfb32f759a6)
لقطة شاشة لبيانات وصفية متطابقة لمستندات خادعة مختلفة
إحدى الوثائق المكتشفة تحمل الاسم ListOfHackedEmails.doc يحتوي على قائمة تضم 34 عنوان بريد إلكتروني ينتمون إلى المجال @aselsan.com.tr.
قام المتخصصون في Group-IB بفحص عناوين البريد الإلكتروني في التسريبات المتاحة للجمهور ووجدوا أن 28 منها قد تم اختراقها في التسريبات المكتشفة مسبقًا. أظهر التحقق من مزيج التسريبات المتاحة حوالي 400 تسجيل دخول فريد مرتبط بهذا المجال وكلمات المرور الخاصة بهم. من الممكن أن يكون المهاجمون قد استخدموا هذه البيانات المتاحة للعامة لمهاجمة ASELSAN A.Ş.
لقطة شاشة للمستند ListOfHackedEmails.doc
لقطة شاشة لقائمة تضم أكثر من 450 زوجًا من كلمات مرور تسجيل الدخول المكتشفة في التسريبات العامة
ومن بين العينات المكتشفة كانت هناك أيضًا وثيقة تحمل العنوان F35-المواصفات.docفي إشارة إلى الطائرة المقاتلة إف-35. وثيقة الطعم هي مواصفات للقاذفة المقاتلة متعددة المهام F-35، تشير إلى خصائص الطائرة وسعرها. ويتعلق موضوع هذه الوثيقة الخادعة بشكل مباشر برفض الولايات المتحدة توريد طائرات F-35 بعد شراء تركيا لأنظمة S-400 والتهديد بنقل المعلومات حول طائرة F-35 Lightning II إلى روسيا.
أشارت جميع البيانات الواردة إلى أن الأهداف الرئيسية لهجمات MuddyWater الإلكترونية كانت منظمات موجودة في تركيا.
من هما Gladiyator_CRK وNima Nikjoo؟
في وقت سابق، في مارس 2019، تم اكتشاف مستندات ضارة أنشأها أحد مستخدمي Windows تحت الاسم المستعار Gladiyator_CRK. قامت هذه المستندات أيضًا بتوزيع الباب الخلفي لـ POWERSTATS وتوصيلها بخادم القيادة والسيطرة الذي يحمل اسمًا مشابهًا المصارع[.]tk.
ربما تم ذلك بعد أن نشر المستخدم Nima Nikjoo على تويتر في 14 مارس 2019، محاولًا فك تشفير التعليمات البرمجية المبهمة المرتبطة بـ MuddyWater. وفي التعليقات على هذه التغريدة، قال الباحث إنه لم يتمكن من مشاركة مؤشرات الاختراق لهذه البرمجيات الخبيثة، حيث أن هذه المعلومات سرية. لسوء الحظ، تم حذف المنشور بالفعل، ولكن لا تزال آثاره موجودة على الإنترنت:
Nima Nikjoo هي صاحبة الملف الشخصي Gladyator_CRK على موقعي استضافة الفيديو الإيرانيين dideo.ir وvideoi.ir. في هذا الموقع، يوضح عمليات استغلال إثبات المفهوم (PoC) لتعطيل أدوات مكافحة الفيروسات من مختلف البائعين وتجاوز صناديق الحماية. يكتب نيما نيكجو عن نفسه أنه متخصص في أمن الشبكات، بالإضافة إلى كونه مهندسًا عكسيًا ومحللًا للبرامج الضارة يعمل لدى شركة MTN إيرانسيل، وهي شركة اتصالات إيرانية.
لقطة شاشة لمقاطع الفيديو المحفوظة في نتائج بحث Google:
لاحقًا، في 19 مارس 2019، قام المستخدم Nima Nikjoo على شبكة التواصل الاجتماعي Twitter بتغيير لقبه إلى Malware Fighter، وقام أيضًا بحذف المنشورات والتعليقات ذات الصلة. تم أيضًا حذف الملف الشخصي لـ Gladiyator_CRK على استضافة الفيديو dideo.ir، كما كان الحال على YouTube، وتمت إعادة تسمية الملف الشخصي نفسه إلى N Tabrizi. ومع ذلك، بعد مرور شهر تقريبًا (16 أبريل 2019)، بدأ حساب تويتر باستخدام اسم Nima Nikjoo مرة أخرى.
أثناء الدراسة، اكتشف متخصصو Group-IB أن Nima Nikjoo قد تم ذكره بالفعل فيما يتعلق بأنشطة الجرائم الإلكترونية. في أغسطس 2014، نشرت مدونة إيران خبرستان معلومات حول أفراد مرتبطين بمجموعة الجرائم الإلكترونية معهد النصر الإيراني. وذكر أحد تحقيقات FireEye أن معهد النصر كان متعاقدًا مع APT33 وشارك أيضًا في هجمات DDoS على البنوك الأمريكية بين عامي 2011 و2013 كجزء من حملة تسمى عملية أبابيل.
لذلك في نفس المدونة، تم ذكر Nima Nikju-Nikjoo، الذي كان يطور برامج ضارة للتجسس على الإيرانيين، وعنوان بريده الإلكتروني: Gladiator_cracker@yahoo[.]com.
لقطة شاشة للبيانات المنسوبة إلى مجرمي الإنترنت من معهد النصر الإيراني:
ترجمة النص المميز إلى اللغة الروسية: نيما نيكيو - مطور برامج التجسس - البريد الإلكتروني:.
وكما يتبين من هذه المعلومات، فإن عنوان البريد الإلكتروني مرتبط بالعنوان المستخدم في الهجمات والمستخدمين Gladiyator_CRK وNima Nikjoo.
بالإضافة إلى ذلك، ذكرت مقالة 15 يونيو 2017 أن نيكجو كان مهملًا إلى حد ما في نشر إشارات إلى مركز كافوش الأمني في سيرته الذاتية. يأكل أن مركز كافوش الأمني مدعوم من الدولة الإيرانية لتمويل المتسللين الموالين للحكومة.
معلومات عن الشركة التي عمل بها نيما نيكجو:
يُدرج الملف الشخصي لمستخدم تويتر Nima Nikjoo على LinkedIn مكان عمله الأول في مركز Kavosh Security Center، حيث عمل من عام 2006 إلى عام 2014. خلال عمله، قام بدراسة العديد من البرامج الضارة، كما تعامل أيضًا مع الأعمال العكسية والمتعلقة بالتعتيم.
معلومات عن الشركة التي عمل بها Nima Nikjoo على LinkedIn:
MuddyWater واحترام الذات العالي
ومن الغريب أن مجموعة MuddyWater تراقب بعناية جميع التقارير والرسائل التي ينشرها عنها خبراء أمن المعلومات، بل إنها تعمدت ترك إشارات كاذبة في البداية من أجل إبعاد الباحثين عن الرائحة. على سبيل المثال، قامت هجماتهم الأولى بتضليل الخبراء من خلال الكشف عن استخدام DNS Messenger، والذي كان مرتبطًا بشكل شائع بمجموعة FIN7. وفي هجمات أخرى، أدخلوا سلاسل صينية في الكود.
بالإضافة إلى ذلك، تحب المجموعة ترك رسائل للباحثين. على سبيل المثال، لم يعجبهم قيام Kaspersky Lab بوضع MuddyWater في المركز الثالث في تصنيف التهديد لهذا العام. وفي نفس اللحظة، قام شخص ما - من مجموعة MuddyWater على الأرجح - بتحميل إثبات المفهوم (PoC) لثغرة أمنية على YouTube والتي تعمل على تعطيل برنامج مكافحة الفيروسات LK. كما تركوا تعليقا تحت المقال.
لقطات شاشة من الفيديو حول تعطيل برنامج مكافحة الفيروسات Kaspersky Lab والتعليق أدناه:
لا يزال من الصعب التوصل إلى نتيجة لا لبس فيها بشأن تورط "نيما نيكجو". يدرس خبراء Group-IB نسختين. في الواقع، قد يكون Nima Nikjoo أحد المتسللين من مجموعة MuddyWater، والذي ظهر إلى النور بسبب إهماله وزيادة نشاطه على الشبكة. الخيار الثاني هو أنه تم "فضحه" عمداً من قبل أعضاء آخرين في المجموعة من أجل صرف الشكوك عن أنفسهم. على أية حال، تواصل Group-IB أبحاثها وستعلن نتائجها بالتأكيد.
أما بالنسبة للتهديدات المستمرة المتقدمة الإيرانية، فمن المحتمل أن تواجه، بعد سلسلة من التسريبات والتسريبات، عملية "استخلاص معلومات" خطيرة - حيث سيضطر المتسللون إلى تغيير أدواتهم بشكل جدي، وتنظيف مساراتهم والعثور على "شامات" محتملة في صفوفهم. ولم يستبعد الخبراء أن يأخذوا حتى مهلة، ولكن بعد استراحة قصيرة، استمرت هجمات APT الإيرانية مرة أخرى.
المصدر: www.habr.com