Ang mga hacker nga pro-gobyerno sa Iran naa sa dakong problema. Sa tibuuk nga tingpamulak, ang wala mailhi nga mga tawo nagpatik sa "sekreto nga pagtulo" sa Telegram - kasayuran bahin sa mga grupo sa APT nga nakig-uban sa gobyerno sa Iran - OilRig ΠΈ Lapok nga Tubig β ilang mga himan, biktima, koneksyon. Apan dili mahitungod sa tanan. Kaniadtong Abril, ang mga espesyalista sa Group-IB nakadiskubre sa usa ka pagtulo sa mga adres sa koreo sa korporasyon sa Turkey nga ASELSAN A.Ε, nga nagpatunghag mga taktikal nga radyo sa militar ug mga elektronik nga sistema sa depensa para sa mga armadong pwersa sa Turkey. Anastasia Tikhonova, Group-IB Advanced Threat Research Team Leader, ug Nikita Rostovtsev, junior analyst sa Group-IB, mihulagway sa dagan sa pag-atake sa ASELSAN A.Ε ug nakit-an ang posibleng partisipante Lapok nga Tubig.
Paglamdag pinaagi sa Telegram
Ang pagtulo sa mga grupo sa APT sa Iran nagsugod sa kamatuoran nga ang usa ka Lab Doukhtegan ang mga source code sa unom ka APT34 nga mga himan (aka OilRig ug HelixKitten), nagpadayag sa mga IP address ug mga domain nga nalambigit sa mga operasyon, ingon man ang datos sa 66 ka biktima sa mga hacker, lakip ang Etihad Airways ug Emirates National Oil. Ang Lab Doookhtegan nag-leak usab og datos mahitungod sa nangaging mga operasyon sa grupo ug impormasyon mahitungod sa mga empleyado sa Iranian Ministry of Information and National Security nga giingong nakig-uban sa mga operasyon sa grupo. Ang OilRig usa ka grupo sa APT nga nalambigit sa Iran nga naglungtad sukad pa sa 2014 ug gipunting ang mga organisasyon sa gobyerno, pinansyal ug militar, ingon man mga kompanya sa enerhiya ug telekomunikasyon sa Middle East ug China.
Pagkahuman nabutyag ang OilRig, nagpadayon ang mga pagtulo - ang impormasyon bahin sa mga kalihokan sa laing grupo nga pro-estado gikan sa Iran, MuddyWater, nagpakita sa darknet ug sa Telegram. Bisan pa, dili sama sa una nga pagtulo, niining higayona dili ang mga source code ang gipatik, apan ang mga dump, lakip ang mga screenshot sa mga source code, control server, ingon man ang mga IP address sa nangaging mga biktima sa mga hacker. Niining higayona, ang mga hacker sa Green Leakers ang responsable sa pagtulo bahin sa MuddyWater. Tag-iya nila ang daghang mga channel sa Telegram ug mga site sa darknet diin sila nag-anunsyo ug nagbaligya mga datos nga may kalabotan sa mga operasyon sa MuddyWater.
Mga espiya sa cyber gikan sa Middle East
Lapok nga Tubig usa ka grupo nga aktibo sukad sa 2017 sa Middle East. Pananglitan, ingon sa nahibal-an sa mga eksperto sa Group-IB, gikan sa Pebrero hangtod Abril 2019, ang mga hacker naghimo usa ka serye sa mga phishing nga mga sulat nga gitumong sa gobyerno, mga organisasyon sa edukasyon, pinansyal, telekomunikasyon ug mga kompanya sa depensa sa Turkey, Iran, Afghanistan, Iraq ug Azerbaijan.
Ang mga membro sa grupo naggamit ug backdoor sa ilang kaugalingong development base sa PowerShell, nga gitawag POWERSTATS. Siya makahimo:
- pagkolekta og datos mahitungod sa lokal ug domain nga mga account, anaa nga mga file server, internal ug external nga IP address, ngalan ug OS nga arkitektura;
- ipatuman ang remote code execution;
- pag-upload ug pag-download sa mga file pinaagi sa C&C;
- makit-an ang presensya sa mga programa sa pag-debug nga gigamit sa pag-analisar sa mga malisyosong file;
- isira ang sistema kung makit-an ang mga programa alang sa pag-analisar sa mga malisyosong file;
- kuhaa ang mga file gikan sa lokal nga mga drive;
- pagkuha og mga screenshot;
- pag-disable sa mga lakang sa seguridad sa mga produkto sa Microsoft Office.
Sa pila ka punto, ang mga tig-atake nasayop ug ang mga tigdukiduki gikan sa ReaQta nakahimo sa pagkuha sa katapusang IP address, nga nahimutang sa Tehran. Tungod sa mga target nga giatake sa grupo, ingon man sa mga tumong niini nga may kalabutan sa cyber espionage, ang mga eksperto nagsugyot nga ang grupo nagrepresentar sa mga interes sa gobyerno sa Iran.
Mga timailhan sa pag-atakeC&C:
- gladiator [.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Mga file:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Giatake ang TΓΌrkiye
Kaniadtong Abril 10, 2019, ang mga espesyalista sa Group-IB nakadiskubre sa usa ka pagtulo sa mga adres sa koreo sa kompanya sa Turkey nga ASELSAN A.Ε, ang pinakadako nga kompanya sa natad sa elektronikong militar sa Turkey. Ang mga produkto niini naglakip sa radar ug electronics, electro-optics, avionics, unmanned system, yuta, naval, armas ug air defense system.
Sa pagtuon sa usa sa mga bag-ong sample sa POWERSTATS malware, ang mga eksperto sa Group-IB mitino nga ang MuddyWater nga grupo sa mga tig-atake gigamit isip dokumento sa paon usa ka kasabutan sa lisensya tali sa KoΓ§ Savunma, usa ka kompanya nga naghimo og mga solusyon sa natad sa impormasyon ug mga teknolohiya sa depensa, ug Tubitak Bilgem , usa ka sentro sa panukiduki sa seguridad sa impormasyon ug mga advanced nga teknolohiya. Ang contact person para sa KoΓ§ Savunma mao si Tahir Taner TΔ±mΔ±Ε, kinsa naghupot sa posisyon sa Programs Manager sa KoΓ§ Bilgi ve Savunma Teknolojileri A.Ε. gikan sa Septiyembre 2013 hangtod Disyembre 2018. Sa ulahi nagsugod siya sa pagtrabaho sa ASELSAN A.Ε.
Sample nga dokumento sa decoy
Human ma-activate sa user ang malisyoso nga macros, ang POWERSTATS backdoor ma-download sa computer sa biktima.
Salamat sa metadata niining decoy nga dokumento (MD5: 0638adf8fb4095d60fbef190a759aa9e) nakaplagan sa mga tigdukiduki ang tulo ka dugang nga mga sample nga adunay managsama nga mga kantidad, lakip ang petsa ug oras sa paghimo, username, ug usa ka lista sa mga macro nga adunay sulud:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Screenshot sa parehas nga metadata sa lainlaing mga dokumento sa decoy
Usa sa mga nadiskobrehan nga mga dokumento nga adunay ngalan ListOfHackedEmails.doc adunay usa ka lista sa 34 nga mga adres sa email nga nahisakop sa domain @aselsan.com.tr.
Gisusi sa mga espesyalista sa Group-IB ang mga email address sa mga leak nga magamit sa publiko ug nakit-an nga 28 niini ang nakompromiso sa nadiskobrehan kaniadto nga mga pagtulo. Ang pagsusi sa pagsagol sa mga magamit nga pagtulo nagpakita sa mga 400 ka talagsaon nga mga pag-login nga may kalabutan niini nga domain ug mga password alang kanila. Posible nga gigamit sa mga tig-atake kining datos nga magamit sa publiko aron atakehon ang ASELSAN A.Ε.
Screenshot sa dokumento ListOfHackedEmails.doc
Screenshot sa usa ka lista sa labaw pa sa 450 nga nakit-an nga mga pares sa pag-login-password sa mga publiko nga pagtulo
Lakip sa nadiskobrehan nga mga sample adunay usa usab ka dokumento nga adunay titulo F35-Specifications.doc, nga nagtumong sa F-35 fighter jet. Ang dokumento sa paon usa ka detalye alang sa F-35 multi-role fighter-bomber, nga nagpakita sa mga kinaiya ug presyo sa eroplano. Ang hilisgutan niini nga decoy nga dokumento direkta nga may kalabutan sa pagdumili sa US sa pagsuplay sa mga F-35 pagkahuman sa pagpalit sa Turkey sa mga sistema sa S-400 ug ang hulga sa pagbalhin sa kasayuran bahin sa F-35 Lightning II sa Russia.
Ang tanan nga datos nga nadawat nagpakita nga ang mga nag-unang target sa MuddyWater cyber nga pag-atake mao ang mga organisasyon nga nahimutang sa Turkey.
Kinsa sila Gladiyator_CRK ug Nima Nikjoo?
Sa sayo pa, kaniadtong Marso 2019, nadiskubre ang mga malisyosong dokumento nga gihimo sa usa ka tiggamit sa Windows ubos sa angga nga Gladiyator_CRK. Kini nga mga dokumento nag-apod-apod usab sa POWERSTATS backdoor ug konektado sa usa ka server sa C&C nga adunay parehas nga ngalan gladiator [.]tk.
Mahimong nahimo kini human ang user nga si Nima Nikjoo nag-post sa Twitter kaniadtong Marso 14, 2019, nga misulay sa pag-decode sa obfuscated code nga may kalabotan sa MuddyWater. Sa mga komento sa kini nga tweet, ang tigdukiduki nag-ingon nga dili siya makapaambit sa mga timailhan sa pagkompromiso alang sa kini nga malware, tungod kay kini nga kasayuran kompidensyal. Ikasubo, ang post natangtang na, apan ang mga pagsubay niini nagpabilin nga online:
Si Nima Nikjoo mao ang tag-iya sa Gladiyator_CRK profile sa Iranian video hosting sites dideo.ir ug videoi.ir. Sa kini nga site, gipakita niya ang mga pagpahimulos sa PoC aron ma-disable ang mga gamit sa antivirus gikan sa lainlaing mga vendor ug laktawan ang mga sandbox. Si Nima Nikjoo misulat bahin sa iyang kaugalingon nga siya usa ka network security specialist, ingon man usa ka reverse engineer ug malware analyst nga nagtrabaho sa MTN Irancell, usa ka Iranian telecommunications company.
Screenshot sa na-save nga mga video sa mga resulta sa pagpangita sa Google:
Sa ulahi, kaniadtong Marso 19, 2019, ang user nga si Nima Nikjoo sa social network nga Twitter nag-ilis sa iyang angga ngadto sa Malware Fighter, ug gitangtang usab ang mga post ug komento nga may kalabutan. Ang profile ni Gladiyator_CRK sa video hosting nga dideo.ir gitangtang usab, sama sa nahitabo sa YouTube, ug ang profile mismo giilisan og ngalan nga N Tabrizi. Bisan pa, hapit usa ka bulan ang milabay (Abril 16, 2019), ang Twitter account nagsugod sa paggamit sa ngalan nga Nima Nikjoo.
Atol sa pagtuon, nadiskubrehan sa mga espesyalista sa Group-IB nga si Nima Nikjoo nahisgutan na may kalabotan sa mga kalihokan sa cybercriminal. Niadtong Agosto 2014, ang Iran Khabarestan blog nagpatik ug impormasyon bahin sa mga indibidwal nga nakig-uban sa cybercriminal group Iranian Nasr Institute. Usa ka imbestigasyon sa FireEye nag-ingon nga ang Nasr Institute usa ka kontraktor sa APT33 ug nalambigit usab sa mga pag-atake sa DDoS sa mga bangko sa US tali sa 2011 ug 2013 isip kabahin sa kampanya nga gitawag og Operation Ababil.
Mao nga sa parehas nga blog, gihisgutan si Nima Nikju-Nikjoo, nga nag-develop sa malware aron espiya sa mga Iranian, ug ang iyang email address: gladiator_cracker@yahoo[.]com.
Screenshot sa datos nga gipahinungod sa mga cybercriminals gikan sa Iranian Nasr Institute:
Paghubad sa gipasiugda nga teksto sa Russian: Nima Nikio - Spyware Developer - Email:.
Ingon sa makita gikan niini nga impormasyon, ang email address nalangkit sa adres nga gigamit sa mga pag-atake ug sa mga tiggamit Gladiyator_CRK ug Nima Nikjoo.
Dugang pa, ang artikulo sa Hunyo 15, 2017 nag-ingon nga si Nikjoo medyo nagpakabana sa pag-post sa mga pakisayran sa Kavosh Security Center sa iyang resume. Kaon nga ang Kavosh Security Center gisuportahan sa estado sa Iran sa paggasto sa mga hacker nga pro-gobyerno.
Impormasyon bahin sa kompanya diin nagtrabaho si Nima Nikjoo:
Ang profile sa LinkedIn sa user sa Twitter nga si Nima Nikjoo naglista sa iyang unang dapit sa trabaho isip Kavosh Security Center, diin siya nagtrabaho gikan sa 2006 ngadto sa 2014. Atol sa iyang trabaho, nagtuon siya sa lainlaing malware, ug nag-atubang usab sa reverse ug obfuscation-related nga trabaho.
Impormasyon bahin sa kompanya nga gitrabahoan ni Nima Nikjoo sa LinkedIn:
MuddyWater ug taas nga pagtamod sa kaugalingon
Makapaikag nga ang grupo sa MuddyWater maampingong nag-monitor sa tanan nga mga taho ug mga mensahe gikan sa mga eksperto sa seguridad sa kasayuran nga gipatik bahin kanila, ug bisan sa tinuyo nga gibiyaan ang mga bakak nga mga bandera sa una aron mawala ang mga tigdukiduki sa baho. Pananglitan, ang ilang unang mga pag-atake nagpahisalaag sa mga eksperto pinaagi sa pag-ila sa paggamit sa DNS Messenger, nga kasagarang nalangkit sa FIN7 nga grupo. Sa ubang mga pag-atake, ilang gisulod ang Chinese strings sa code.
Dugang pa, ang grupo ganahan nga magbilin og mga mensahe alang sa mga tigdukiduki. Pananglitan, dili nila gusto nga gibutang sa Kaspersky Lab ang MuddyWater sa ika-3 nga lugar sa rating sa hulga niini alang sa tuig. Sa samang higayon, adunay usa - lagmit ang MuddyWater nga grupo - nag-upload sa usa ka PoC sa usa ka pagpahimulos sa YouTube nga nagpugong sa LK antivirus. Nagbilin usab sila og komento ubos sa artikulo.
Mga screenshot sa video sa pag-disable sa Kaspersky Lab antivirus ug ang komentaryo sa ubos:
Lisud gihapon ang paghimo og dili klaro nga konklusyon bahin sa pagkalambigit sa "Nima Nikjoo". Ang mga eksperto sa Group-IB nagkonsiderar sa duha ka bersyon. Si Nima Nikjoo, sa tinuud, mahimong usa ka hacker gikan sa grupo nga MuddyWater, nga nahayag tungod sa iyang pagpabaya ug pagdugang nga kalihokan sa network. Ang ikaduhang kapilian mao nga gituyo siya nga "gibutyag" sa ubang mga sakop sa grupo aron mapalayo ang ilang pagduda. Sa bisan unsang kaso, ang Group-IB nagpadayon sa ilang panukiduki ug siguradong magreport sa mga resulta niini.
Sama sa alang sa mga APT sa Iran, pagkahuman sa sunud-sunod nga pagtulo ug pagtulo, mahimoβg mag-atubang sila sa usa ka seryoso nga "debriefing" - mapugos ang mga hacker nga seryoso nga usbon ang ilang mga himan, limpyohan ang ilang mga agianan ug makit-an ang posible nga "mga moles" sa ilang mga ranggo. Wala gisalikway sa mga eksperto nga mag-timeout pa sila, apan pagkahuman sa usa ka mubo nga pahulay, ang mga pag-atake sa APT sa Iran nagpadayon pag-usab.
Source: www.habr.com