Iranski provladini hakeri su u velikim problemima. Tokom proleća nepoznati ljudi objavljivali su „tajna curenja” na Telegramu - informacije o APT grupama povezanim sa iranskom vladom - OilRig и MuddyWater — njihovi alati, žrtve, veze. Ali ne o svima. U aprilu su stručnjaci Grupe-IB otkrili curenje poštanskih adresa turske korporacije ASELSAN A.Ş, koja proizvodi taktičke vojne radio stanice i elektronske odbrambene sisteme za turske oružane snage. Anastasia Tikhonova, vođa tima za napredno istraživanje prijetnji grupe-IB i Nikita Rostovtsev, mlađi analitičar Grupe-IB, opisao je tok napada na ASELSAN A.Ş i pronašao mogućeg učesnika MuddyWater.
Osvetljenje putem Telegrama
Curenje iranskih APT grupa počelo je činjenicom da je izvjesni Lab Doukhtegan izvorni kodovi šest APT34 alata (aka OilRig i HelixKitten), otkrili su IP adrese i domene uključene u operacije, kao i podatke o 66 žrtava hakera, uključujući Etihad Airways i Emirates National Oil. Lab Doookhtegan je također procurio podatke o prošlim operacijama grupe i informacije o zaposlenima iranskog Ministarstva informacija i nacionalne sigurnosti koji su navodno povezani s operacijama grupe. OilRig je APT grupa povezana s Iranom koja postoji otprilike od 2014. godine i cilja na vladine, finansijske i vojne organizacije, kao i na energetske i telekomunikacijske kompanije na Bliskom istoku i u Kini.
Nakon što je OilRig razotkriven, curenje se nastavilo - informacije o aktivnostima druge prodržavne grupe iz Irana, MuddyWater, pojavile su se na darknetu i Telegramu. Međutim, za razliku od prvog curenja, ovoga puta nisu objavljeni izvorni kodovi, već dumpovi, uključujući screenshotove izvornih kodova, kontrolnih servera, kao i IP adrese prošlih žrtava hakera. Ovaj put su hakeri Green Leakersa preuzeli odgovornost za curenje informacija o MuddyWateru. Posjeduju nekoliko Telegram kanala i darknet stranica na kojima oglašavaju i prodaju podatke u vezi s operacijama MuddyWater.
Sajber špijuni sa Bliskog istoka
MuddyWater je grupa koja je aktivna od 2017. godine na Bliskom istoku. Na primjer, kako primjećuju stručnjaci Group-IB, od februara do aprila 2019. hakeri su izvršili niz phishing poruka usmjerenih na vladu, obrazovne organizacije, finansijske, telekomunikacijske i odbrambene kompanije u Turskoj, Iranu, Afganistanu, Iraku i Azerbejdžanu.
Članovi grupe koriste backdoor vlastitog razvoja zasnovanog na PowerShell-u, koji se zove POWERSTATS. On može:
- prikuplja podatke o lokalnim i domenskim nalozima, dostupnim fajl serverima, internim i eksternim IP adresama, nazivu OS-a i arhitekturi;
- izvršiti daljinsko izvršavanje koda;
- učitavanje i preuzimanje datoteka putem C&C;
- otkriti prisustvo programa za otklanjanje grešaka koji se koriste u analizi zlonamjernih datoteka;
- isključiti sistem ako se pronađu programi za analizu zlonamjernih datoteka;
- brisanje datoteka s lokalnih diskova;
- napraviti snimke ekrana;
- onemogućite sigurnosne mjere u Microsoft Office proizvodima.
U nekom trenutku, napadači su pogriješili i istraživači iz ReaQta uspjeli su dobiti konačnu IP adresu, koja se nalazila u Teheranu. S obzirom na mete koje je grupa napala, kao i na ciljeve vezane za sajber špijunažu, stručnjaci sugeriraju da grupa predstavlja interese iranske vlade.
Indikatori napadaC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Datoteke:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Turska pod napadom
10. aprila 2019. godine, stručnjaci Grupe-IB otkrili su curenje poštanskih adresa turske kompanije ASELSAN A.Ş, najveće kompanije u oblasti vojne elektronike u Turskoj. Njegovi proizvodi uključuju radar i elektroniku, elektrooptiku, avioniku, bespilotne sisteme, kopnene, pomorske, oružane i protivvazdušne sisteme.
Proučavajući jedan od novih uzoraka zlonamjernog softvera POWERSTATS, stručnjaci Grupe-IB utvrdili su da je grupa napadača MuddyWater kao mamac koristila ugovor o licenci između Koç Savunma, kompanije koja proizvodi rješenja u oblasti informacionih i odbrambenih tehnologija, i Tubitaka Bilgema. , istraživački centar informacijske sigurnosti i napredne tehnologije. Kontakt osoba za Koç Savunma bio je Tahir Taner Tımış, koji je bio na poziciji menadžera programa u Koç Bilgi ve Savunma Teknolojileri A.Ş. od septembra 2013. do decembra 2018. Kasnije je počeo raditi u ASELSAN A.Ş.
Uzorak dokumenta za mamce
Nakon što korisnik aktivira zlonamjerne makroe, POWERSTATS backdoor se preuzima na računar žrtve.
Zahvaljujući metapodacima ovog lažnog dokumenta (MD5: 0638adf8fb4095d60fbef190a759aa9e) istraživači su uspjeli pronaći tri dodatna uzorka koji sadrže identične vrijednosti, uključujući datum i vrijeme kreiranja, korisničko ime i listu makronaredbi koje se nalaze:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifikacije.doc (5c6148619abb10bb3789dcfb32f759a6)
Snimak ekrana identičnih metapodataka različitih lažnih dokumenata
Jedan od otkrivenih dokumenata sa imenom ListOfHackedEmails.doc sadrži listu od 34 email adrese koje pripadaju domeni @aselsan.com.tr.
Stručnjaci Group-IB su provjerili adrese e-pošte u javno dostupnim curenjima i otkrili da je njih 28 kompromitovano u ranije otkrivenim curenjima. Provjera mješavine dostupnih curenja pokazala je oko 400 jedinstvenih prijava povezanih s ovom domenom i lozinki za njih. Moguće je da su napadači koristili ove javno dostupne podatke za napad na ASELSAN A.Ş.
Snimak ekrana dokumenta ListOfHackedEmails.doc
Snimak ekrana liste od više od 450 otkrivenih parova prijava-lozinka u javnim procurama
Među otkrivenim uzorcima nalazio se i dokument sa naslovom F35-Specifikacije.doc, koji se odnosi na borbeni avion F-35. Dokument o mamacu je specifikacija za višenamenski lovac-bombarder F-35, u kojoj su naznačene karakteristike i cena aviona. Tema ovog dokumenta za mamce direktno se odnosi na odbijanje SAD-a da isporuče F-35 nakon što je Turska kupila sisteme S-400 i prijetnju prenošenja informacija o F-35 Lightning II u Rusiju.
Svi primljeni podaci ukazuju da su glavne mete sajber napada MuddyWater bile organizacije koje se nalaze u Turskoj.
Ko su Gladiyator_CRK i Nima Nikjoo?
Ranije, u martu 2019. godine, otkriveni su zlonamjerni dokumenti koje je kreirao jedan Windows korisnik pod nadimkom Gladiyator_CRK. Ovi dokumenti su takođe distribuirali POWERSTATS backdoor i povezivali se na C&C server sa sličnim imenom gladiyator[.]tk.
Ovo je možda učinjeno nakon što je korisnik Nima Nikjoo objavio na Twitteru 14. marta 2019., pokušavajući dekodirati zamućeni kod povezan sa MuddyWater. U komentarima na ovaj tvit, istraživač je rekao da ne može podijeliti pokazatelje kompromitovanja ovog malvera, jer su te informacije povjerljive. Nažalost, objava je već izbrisana, ali tragovi ostaju na mreži:
Nima Nikjoo je vlasnik profila Gladiyator_CRK na iranskim video hosting stranicama dideo.ir i videoi.ir. Na ovoj stranici on demonstrira PoC eksploatacije za onemogućavanje antivirusnih alata različitih proizvođača i zaobilaženje sandboxova. Nima Nikjoo piše o sebi da je stručnjak za mrežnu sigurnost, kao i obrnuti inženjering i analitičar zlonamjernog softvera koji radi za MTN Irancell, iransku telekomunikacionu kompaniju.
Snimak ekrana sačuvanih video zapisa u rezultatima Google pretrage:
Kasnije, 19. marta 2019. godine, korisnik Nima Nikjoo na društvenoj mreži Twitter promijenio je svoj nadimak u Malware Fighter, a također je obrisao povezane objave i komentare. Profil Gladiyator_CRK na video hostingu dideo.ir je također obrisan, kao i na YouTube-u, a sam profil je preimenovan u N Tabrizi. Međutim, skoro mjesec dana kasnije (16. aprila 2019.), Twitter nalog je ponovo počeo koristiti ime Nima Nikjoo.
Tokom studije, stručnjaci Grupe-IB otkrili su da je Nima Nikjoo već spominjan u vezi sa sajber kriminalnim aktivnostima. U avgustu 2014., blog Iran Khabarestan objavio je informacije o pojedincima povezanim sa cyber kriminalnom grupom Iranian Nasr Institute. Jedna istraga FireEye navodi da je Institut Nasr bio izvođač radova za APT33 i da je također bio uključen u DDoS napade na američke banke između 2011. i 2013. u sklopu kampanje pod nazivom Operation Ababil.
Tako je na istom blogu spomenut Nima Nikju-Nikjoo, koji je razvijao zlonamjerni softver za špijuniranje Iranaca, i njegova e-mail adresa: gladiyator_cracker@yahoo[.]com.
Snimak ekrana podataka koji se pripisuju sajber kriminalcima iz iranskog Nasr instituta:
Prijevod istaknutog teksta na ruski: Nima Nikio - Programer špijunskog softvera - E-pošta:.
Kao što se vidi iz ovih informacija, adresa e-pošte je povezana sa adresom korištenom u napadima i korisnicima Gladiyator_CRK i Nima Nikjoo.
Uz to, članak od 15. juna 2017. navodi da je Nikjoo bio pomalo neoprezan u objavljivanju referenci na Kavosh sigurnosni centar u svojoj biografiji. Jedi da je Kavosh sigurnosni centar podržan od strane iranske države za finansiranje provladinih hakera.
Informacije o kompaniji u kojoj je Nima Nikjoo radio:
Na LinkedIn profilu korisnika Twittera Nime Nikjoo navodi se njegovo prvo mjesto zaposlenja kao Kavosh Security Center, gdje je radio od 2006. do 2014. godine. Tokom svog rada proučavao je razne zlonamjerne programe, a bavio se i obrnutim radom i zamagljivanjem.
Informacije o kompaniji za koju je Nima Nikjoo radio na LinkedInu:
Mutna voda i visoko samopoštovanje
Zanimljivo je da grupa MuddyWater pomno prati sve izvještaje i poruke stručnjaka za informacijsku sigurnost objavljene o njima, pa čak i namjerno isprva ostavljala lažne zastavice kako bi odbacila istraživače. Na primjer, njihovi prvi napadi doveli su u zabludu stručnjake otkrivanjem upotrebe DNS Messengera, koji se obično povezivao s grupom FIN7. U drugim napadima, ubacili su kineske nizove u kod.
Osim toga, grupa voli da ostavlja poruke istraživačima. Na primjer, nije im se svidjelo što je Kaspersky Lab stavio MuddyWater na 3. mjesto u svojoj rejtingu prijetnji za godinu. U istom trenutku, neko je - verovatno grupa MuddyWater - postavio PoC eksploatacije na YouTube koji onemogućava LK antivirus. Ostavili su i komentar ispod članka.
Snimci ekrana videa o onemogućavanju Kaspersky Lab antivirusa i komentar ispod:
Još uvijek je teško donijeti nedvosmislen zaključak o umiješanosti “Nima Nikjoo”. Stručnjaci Grupe-IB razmatraju dvije verzije. Nima Nikjoo, zaista, možda je haker iz grupe MuddyWater, koji je izašao na vidjelo zbog svog nemara i povećane aktivnosti na mreži. Druga opcija je da su ga namjerno “razotkrili” drugi članovi grupe kako bi odvratili sumnju od njih samih. U svakom slučaju, Group-IB nastavlja svoje istraživanje i definitivno će izvijestiti o rezultatima.
Što se tiče iranskih APT-a, nakon niza curenja i curenja informacija, oni će se vjerovatno suočiti sa ozbiljnim "debrifingom" - hakeri će biti primorani ozbiljno promijeniti svoje alate, počistiti tragove i pronaći moguće "krtice" u svojim redovima. Stručnjaci nisu isključili da će čak uzeti i tajm-aut, ali su nakon kratke pauze iranski APT napadi nastavljeni ponovo.
izvor: www.habr.com