İran hökumətyönlü hakerlər böyük bəla içindədir. Bütün yaz boyu naməlum şəxslər Telegram-da “gizli sızıntılar” - İran hökuməti ilə əlaqəli APT qrupları haqqında məlumat dərc etdilər. OilRig и Palçıq suyu — onların alətləri, qurbanları, əlaqələri. Amma hər kəs haqqında deyil. Aprel ayında Group-IB mütəxəssisləri Türkiyə silahlı qüvvələri üçün taktiki hərbi radio və elektron müdafiə sistemləri istehsal edən türk korporasiyası ASELSAN A.Ş-nin poçt ünvanlarının sızmasını aşkar ediblər. Anastasiya Tixonova, Group-IB Qabaqcıl Təhdid Araşdırma Qrupunun Rəhbəri və Nikita Rostovtsev, Group-IB-nin kiçik analitiki ASELSAN A.Ş-yə hücumun gedişatını izah etdi və mümkün iştirakçı tapdı. Palçıq suyu.
Telegram vasitəsilə işıqlandırma
İran APT qruplarının sızması müəyyən Lab Doukhtegan olması ilə başladı altı APT34 alətinin (aka OilRig və HelixKitten) mənbə kodları əməliyyatlarda iştirak edən IP ünvanları və domenləri, həmçinin Etihad Airways və Emirates National Oil daxil olmaqla, hakerlərin 66 qurbanı haqqında məlumatları açıqlayıb. Lab Doookhtegan həmçinin qrupun keçmiş əməliyyatları və qrupun əməliyyatları ilə əlaqəli olduğu iddia edilən İran İnformasiya və Milli Təhlükəsizlik Nazirliyinin əməkdaşları haqqında məlumatları sızdırıb. OilRig təxminən 2014-cü ildən mövcud olan və Yaxın Şərq və Çindəki hökumət, maliyyə və hərbi təşkilatları, həmçinin enerji və telekommunikasiya şirkətlərini hədəf alan İranla əlaqəli APT qrupudur.
OilRig ifşa edildikdən sonra sızmalar davam etdi - İrandan olan digər dövlətyönlü qrup MuddyWater-in fəaliyyəti haqqında məlumatlar darknet və Telegram-da peyda oldu. Bununla belə, ilk sızmadan fərqli olaraq, bu dəfə mənbə kodları deyil, mənbə kodlarının skrinşotları, idarəetmə serverləri, eləcə də keçmiş haker qurbanlarının İP ünvanları daxil olmaqla zibillər dərc edilib. Bu dəfə Green Leakers hakerləri MuddyWater haqqında sızmaya görə məsuliyyəti öz üzərinə götürdülər. Onların MuddyWater əməliyyatları ilə bağlı məlumatları reklam və satdıqları bir neçə Telegram kanalı və qaranlıq şəbəkə saytları var.
Yaxın Şərqdən olan kibercasuslar
Palçıq suyu 2017-ci ildən Yaxın Şərqdə fəaliyyət göstərən qrupdur. Məsələn, Group-IB ekspertlərinin qeyd etdiyi kimi, 2019-cu ilin fevralından aprel ayına qədər hakerlər Türkiyə, İran, Əfqanıstan, İraq və Azərbaycanda dövlət, təhsil təşkilatları, maliyyə, telekommunikasiya və müdafiə şirkətlərinə yönəlmiş bir sıra fişinq poçtları həyata keçiriblər.
Qrup üzvləri PowerShell-ə əsaslanan öz inkişaflarının arxa qapısından istifadə edirlər GÜÇLƏR. O bacarır:
- yerli və domen hesabları, mövcud fayl serverləri, daxili və xarici IP ünvanları, ad və OS arxitekturası haqqında məlumat toplamaq;
- uzaqdan kod icrasını həyata keçirmək;
- C&C vasitəsilə faylları yükləmək və yükləmək;
- zərərli faylların təhlilində istifadə olunan sazlama proqramlarının mövcudluğunu aşkar etmək;
- zərərli faylları təhlil etmək üçün proqramlar aşkar edildikdə sistemi bağlayın;
- yerli sürücülərdən faylları silin;
- ekran görüntüləri çəkmək;
- Microsoft Office məhsullarında təhlükəsizlik tədbirlərini söndürün.
Bir anda hücumçular səhv etdilər və ReaQta tədqiqatçıları Tehranda yerləşən son IP ünvanını əldə edə bildilər. Qrupun hücum etdiyi hədəfləri, həmçinin kibercasusluqla bağlı məqsədlərini nəzərə alan ekspertlər qrupun İran hökumətinin maraqlarını təmsil etdiyini irəli sürüblər.
Hücum göstəriciləriC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Fayllar:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiyə hücum altındadır
10 aprel 2019-cu il tarixində Group-IB mütəxəssisləri Türkiyənin hərbi elektronika sahəsində ən böyük şirkəti olan ASELSAN A.Ş-nin poçt ünvanlarının sızmasını aşkar ediblər. Onun məhsullarına radar və elektronika, elektrooptika, avionika, pilotsuz sistemlər, quru, dəniz, silah və hava hücumundan müdafiə sistemləri daxildir.
POWERSTATS zərərli proqram təminatının yeni nümunələrindən birini araşdıran Group-IB mütəxəssisləri müəyyən ediblər ki, MuddyWater hücumçu qrupu informasiya və müdafiə texnologiyaları sahəsində həllər istehsal edən Koç Savunma şirkəti ilə Tubitak Bilgem arasında bağlanmış lisenziya müqaviləsini yem kimi istifadə edib. , informasiya təhlükəsizliyi tədqiqat mərkəzi və qabaqcıl texnologiyalar. Koç Savunma ilə əlaqə saxlayan şəxs Koç Bilgi ve Savunma Teknolojileri A.Ş.-də Proqramlar Meneceri vəzifəsində çalışan Tahir Taner Tımış idi. 2013-cü ilin sentyabrından 2018-ci ilin dekabrına qədər. Daha sonra ASELSAN A.Ş.-də işə başlayıb.
Tələb sənədinin nümunəsi
İstifadəçi zərərli makroları aktivləşdirdikdən sonra POWERSTATS arxa qapısı qurbanın kompüterinə endirilir.
Bu saxta sənədin metadatası sayəsində (MD5: 0638adf8fb4095d60fbef190a759aa9e) tədqiqatçılar yaradılış tarixi və vaxtı, istifadəçi adı və olan makroların siyahısı daxil olmaqla, eyni dəyərləri ehtiva edən üç əlavə nümunə tapa bildilər:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Müxtəlif saxta sənədlərin eyni metadatasının ekran görüntüsü
adı olan aşkar edilmiş sənədlərdən biri ListOfHackedEmails.doc domenə aid 34 e-poçt ünvanının siyahısını ehtiva edir @aselsan.com.tr.
Group-IB mütəxəssisləri ictimaiyyətə açıq olan sızmalarda e-poçt ünvanlarını yoxladılar və aşkar etdilər ki, onlardan 28-i əvvəllər aşkar edilmiş sızmalarda təhlükəyə məruz qalıb. Mövcud sızmaların qarışığını yoxlamaq bu domenlə əlaqəli 400-ə yaxın unikal giriş və onlar üçün parolları göstərdi. Mümkündür ki, təcavüzkarlar bu açıq məlumatlardan ASELSAN A.Ş.-yə hücum etmək üçün istifadə ediblər.
ListOfHackedEmails.doc sənədinin ekran görüntüsü
İctimai sızmalarda aşkar edilmiş 450-dən çox giriş-parol cütlərinin siyahısının ekran görüntüsü
Aşkar edilmiş nümunələr arasında başlıqlı sənəd də var idi F35-Spesifikasiyalar.doc, F-35 döyüş təyyarəsinə istinadən. Yem sənədi F-35 çoxməqsədli qırıcı-bombardmançı təyyarənin xüsusiyyətlərini və qiymətini göstərən spesifikasiyadır. Bu saxtakarlıq sənədinin mövzusu Türkiyənin S-35 sistemlərini almasından sonra ABŞ-ın F-400-ləri tədarük etməkdən imtina etməsi və F-35 Lightning II ilə bağlı məlumatları Rusiyaya ötürmək təhlükəsi ilə birbaşa bağlıdır.
Alınan bütün məlumatlar MuddyWater kiberhücumlarının əsas hədəfinin Türkiyədə yerləşən təşkilatlar olduğunu göstərir.
Gladiyator_CRK və Nima Nikjoo kimdir?
Bundan əvvəl, 2019-cu ilin martında bir Windows istifadəçisi tərəfindən Gladiyator_CRK ləqəbi ilə yaradılmış zərərli sənədlər aşkar edilmişdi. Bu sənədlər həm də POWERSTATS arxa qapısını payladı və oxşar ada malik C&C serverinə qoşuldu gladiyator[.]tk.
Bu, istifadəçi Nima Nikjoo-nun 14-cu il martın 2019-də Twitter-də MuddyWater ilə əlaqəli qarışıq kodu deşifrə etməyə çalışdıqdan sonra edilib. Bu tvitə şərhlərdə tədqiqatçı bildirib ki, bu zərərli proqram üçün kompromis göstəricilərini paylaşa bilməz, çünki bu məlumat məxfidir. Təəssüf ki, yazı artıq silinib, lakin onun izləri onlayn olaraq qalır:
Nima Nikjoo İranın dideo.ir və videoi.ir video hostinq saytlarında Gladiyator_CRK profilinin sahibidir. Bu saytda o, müxtəlif satıcıların antivirus alətlərini söndürmək və qum qutularını keçmək üçün PoC istismarlarını nümayiş etdirir. Nima Nikjoo özü haqqında yazır ki, o, şəbəkə təhlükəsizliyi üzrə mütəxəssisdir, həmçinin İran telekommunikasiya şirkəti MTN Irancell-də işləyən əks mühəndis və zərərli proqram analitikidir.
Google axtarış nəticələrində saxlanılan videoların skrinşotları:
Daha sonra, 19 mart 2019-cu ildə Twitter sosial şəbəkəsində Nima Nikjoo istifadəçisi ləqəbini Zərərli proqram Fighter olaraq dəyişdirdi, həmçinin əlaqəli yazıları və şərhləri sildi. Gladiyator_CRK-ın dideo.ir videohostinqindəki profili də YouTube-da olduğu kimi silindi və profilin özü də N Təbrizi adlandırıldı. Bununla belə, təxminən bir ay sonra (16 aprel 2019-cu il) Twitter hesabı yenidən Nima Nikjoo adından istifadə etməyə başladı.
Tədqiqat zamanı Group-IB mütəxəssisləri aşkar ediblər ki, Nima Nikjoo artıq kibercinayətkarlıq fəaliyyətləri ilə bağlı xatırlanıb. 2014-cü ilin avqustunda Iran Khabarestan bloqu İran Nəsr İnstitutu kibercinayətkar qruplaşması ilə əlaqəli şəxslər haqqında məlumat dərc etdi. Bir FireEye araşdırması, Nəsr İnstitutunun APT33-ün podratçısı olduğunu və Ababil Əməliyyatı adlı kampaniyanın bir hissəsi olaraq 2011-2013-cü illər arasında ABŞ banklarına DDoS hücumlarında iştirak etdiyini bildirdi.
Beləliklə, eyni bloqda iranlılara casusluq etmək üçün zərərli proqramlar hazırlayan Nima Nikju-Nikjoo və onun e-poçt ünvanı qeyd edildi: gladiyator_cracker@yahoo[.]com.
İran Nəsr İnstitutundan kibercinayətkarlara aid edilən məlumatların skrinşotu:
Vurğulanmış mətnin rus dilinə tərcüməsi: Nima Nikio - Spyware Developer - E-poçt:.
Bu məlumatdan da göründüyü kimi, e-poçt ünvanı hücumlarda istifadə edilən ünvan və Gladiyator_CRK və Nima Nikjoo istifadəçiləri ilə əlaqələndirilir.
Bundan əlavə, 15 iyun 2017-ci il tarixli məqalədə Nikjoo-nun CV-də Kavoş Təhlükəsizlik Mərkəzinə istinadlar yerləşdirməkdə bir qədər ehtiyatsız davrandığı bildirilir. Yemək Kavoş Təhlükəsizlik Mərkəzinin hökumətyönlü hakerləri maliyyələşdirmək üçün İran dövləti tərəfindən dəstəkləndiyini bildirib.
Nima Nikjoo-nun işlədiyi şirkət haqqında məlumat:
Twitter istifadəçisi Nima Nikjoo-nun LinkedIn profilində onun ilk iş yeri 2006-2014-cü illərdə işlədiyi Kavosh Təhlükəsizlik Mərkəzi kimi göstərilir. İşi zamanı o, müxtəlif zərərli proqramları öyrəndi, həmçinin əks və çaşqınlıqla bağlı işlərlə məşğul oldu.
Nima Nikjoo-nun LinkedIn-də işlədiyi şirkət haqqında məlumat:
MuddyWater və yüksək özünə hörmət
Maraqlıdır ki, MuddyWater qrupu informasiya təhlükəsizliyi üzrə ekspertlərin onlar haqqında dərc olunmuş bütün hesabat və mesajlarını diqqətlə izləyir, hətta tədqiqatçıları bu qoxudan uzaqlaşdırmaq üçün əvvəlcə qəsdən saxta bayraqlar buraxırlar. Məsələn, onların ilk hücumları adətən FIN7 qrupu ilə əlaqəli olan DNS Messenger-in istifadəsini aşkar edərək ekspertləri çaşdırdı. Digər hücumlarda koda Çin sətirlərini daxil etdilər.
Bundan əlavə, qrup tədqiqatçılar üçün mesajlar buraxmağı sevir. Məsələn, Kaspersky Lab-ın MuddyWater-ı il üçün təhlükə reytinqində 3-cü yerə qoyması onların xoşuna gəlmədi. Eyni zamanda, kimsə - ehtimal ki, MuddyWater qrupu - LK antivirusunu söndürən bir istismarın PoC-ni YouTube-a yüklədi. Yazının altına şərh də yazıblar.
Kaspersky Lab antivirusunun söndürülməsinə dair videonun skrinşotları və aşağıdakı şərhlər:
“Nima Nikjoo”nun iştirakı ilə bağlı birmənalı nəticəyə gəlmək hələ də çətindir. Group-IB ekspertləri iki versiyanı nəzərdən keçirirlər. Nima Nikjoo, həqiqətən də, səhlənkarlığı və şəbəkədə artan aktivliyi səbəbindən üzə çıxan MuddyWater qrupundan olan haker ola bilər. İkinci variant ondan ibarətdir ki, o, şübhələri özlərindən yayındırmaq üçün qrupun digər üzvləri tərəfindən qəsdən “ifşa edilib”. İstənilən halda Group-IB araşdırmalarını davam etdirir və nəticələrini mütləq bildirəcək.
İran APT-lərinə gəlincə, bir sıra sızma və sızmalardan sonra onlar çox güman ki, ciddi “debrifinq”lə üzləşəcəklər – hakerlər alətlərini ciddi şəkildə dəyişmək, izlərini təmizləmək və sıralarında mümkün “mol” tapmaq məcburiyyətində qalacaqlar. Ekspertlər hətta taym-aut da alacaqlarını istisna etməyiblər, lakin qısa fasilədən sonra İranın APT hücumları yenidən davam edib.
Mənbə: www.habr.com