ProHoster > Blog > nutizie internet > Muddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare

Muddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare

Muddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare

I pirate iraniani pro-governmentali sò in grandi prublemi. In tutta a primavera, persone scunnisciute anu publicatu "fughe secrete" in Telegram - infurmazione nantu à i gruppi APT assuciati cù u guvernu iranianu - OilRig и MuddyWater - i so arnesi, vittimi, cunnessione. Ma micca di tutti. In April, i specialisti di u Gruppu IB anu scupertu una fuga di indirizzi postali di a corporazione turca ASELSAN A.Ş, chì produce radiu militari tattici è sistemi di difesa elettronica per e forze armate turche. Anastasia Tikhonova, Capu di u Gruppu di Ricerca Avanzata di Minaccia à Group-IB, è Nikita Rostovtsev, analista junior in Group-IB, hà descrittu u cursu di l'attaccu à ASELSAN A.Ş è truvò un pussibule participante MuddyWater.

Illuminazione via Telegram

A fuga di i gruppi APT iraniani principia cù u fattu chì un certu Lab Doukhtegan resu publicu i codici surghjenti di sei strumenti APT34 (aka OilRig è HelixKitten), palesanu l'indirizzi IP è i duminii implicati in l'operazioni, è ancu e dati nantu à 66 vittime di pirate, cumprese Etihad Airways è Emirates National Oil. Lab Doookhtegan hà ancu filtratu dati nantu à l'operazioni passate di u gruppu è l'infurmazioni nantu à l'impiegati di u Ministeru di l'Informazione è a Sicurezza Naziunale iraniana chì sò presuntamente assuciati cù l'operazioni di u gruppu. OilRig hè un gruppu APT ligatu à l'Iran chì esiste da circa 2014 è mira à l'urganisazione di u guvernu, finanziarii è militari, è ancu di cumpagnie di energia è telecomunicazioni in u Mediu Oriente è in Cina.

Dopu chì OilRig hè statu espostu, e fughe cuntinueghjanu - l'infurmazioni nantu à l'attività di un altru gruppu pro-statu da l'Iran, MuddyWater, apparsu in u darknet è in Telegram. In ogni casu, à u cuntrariu di a prima fuga, sta volta ùn era micca i codici surghjenti chì sò stati publicati, ma i dumps, cumprese screenshots di i codici fonte, i servitori di cuntrollu, è ancu l'indirizzi IP di vittimi passati di pirate. Questa volta, i pirate di Green Leakers anu pigliatu a rispunsabilità di a filtrazione di MuddyWater. Iddi pussede parechji canali Telegram è siti darknet induve publicità è vende dati riguardanti l'operazioni MuddyWater.

Cyber ​​​​spies da u Mediu Oriente

MuddyWater hè un gruppu chì hè attivu da 2017 in u Mediu Oriente. Per esempiu, cum'è l'esperti di u Gruppu-IB notanu, da ferraghju à aprile 2019, i pirate anu realizatu una serie di mailing di phishing destinati à u guvernu, l'urganisazioni educative, e cumpagnie finanziarie, di telecomunicazioni è di difesa in Turchia, Iran, Afganistan, Iraq è Azerbaijan.

I membri di u gruppu utilizanu una backdoor di u so propiu sviluppu basatu in PowerShell, chì hè chjamatu POWERSTATS. Pò:

  • raccoglie dati nantu à i cunti lucali è di duminiu, servitori di schedari dispunibili, indirizzi IP interni è esterni, nome è architettura OS;
  • realizà l'esecuzione di codice remota;
  • carica è scaricate i fugliali via C&C;
  • detectà a prisenza di prugrammi di debugging utilizati in l'analisi di i fugliali maliziusi;
  • chjude u sistema se si trovanu prugrammi per analizà i fugliali maliziusi;
  • sguassate i fugliali da unità lucali;
  • piglià screenshots;
  • disattivà e misure di sicurezza in i prudutti Microsoft Office.

À un certu puntu, l'attaccanti anu fattu un sbagliu è i circadori di ReaQta anu sappiutu ottene l'indirizzu IP finale, chì era situatu in Teheran. Dati i miri attaccati da u gruppu, è ancu i so scopi ligati à u ciberspionamentu, i sperti anu suggeritu chì u gruppu rapprisenta l'interessi di u guvernu iranianu.

Indicatori d'attaccuC&C:

  • gladiatore[.]tk
  • 94.23.148[.]194
  • 192.95.21[.]28
  • 46.105.84[.]146
  • 185.162.235[.]182

Files:

  • 09aabd2613d339d90ddbd4b7c09195a9
  • cfa845995b851aacdf40b8e6a5b87ba7
  • a61b268e9bc9b7e6c9125cdbfb1c422a
  • f12bab5541a7d8ef4bbca81f6fc835a3
  • a066f5b93f4ac85e9adfe5ff3b10bc28
  • 8a004e93d7ee3b26d94156768bc0839d
  • 0638adf8fb4095d60fbef190a759aa9e
  • eed599981c097944fa143e7d7f7e17b1
  • 21aebece73549b3c4355a6060df410e9
  • 5c6148619abb10bb3789dcfb32f759a6

Türkiye sottu attaccu

U 10 d'aprile di u 2019, i specialisti di u Gruppu IB anu scupertu una fuga di indirizzi postali di a cumpagnia turca ASELSAN A.Ş, a più grande cumpagnia in u campu di l'elettronica militare in Turchia. I so prudutti includenu radar è l'elettronica, l'elettro-ottica, l'avionica, i sistemi senza pilotu, i sistemi di difesa terrestre, navali, armi è aerei.

Studiendu unu di i novi campioni di u malware POWERSTATS, l'esperti Group-IB anu determinatu chì u gruppu di attaccanti MuddyWater hà utilizatu com'è documentu di esca un accordu di licenza trà Koç Savunma, una cumpagnia chì produce suluzioni in u campu di e tecnulugia di l'infurmazione è di difesa, è Tubitak Bilgem. , un centru di ricerca di sicurezza di l'infurmazioni è tecnulugia avanzata. A persona di cuntattu per Koç Savunma era Tahir Taner Tımış, chì occupava a pusizione di Manager di Programmi in Koç Bilgi ve Savunma Teknolojileri A.Ş. da settembre 2013 à dicembre 2018. In seguitu hà cuminciatu à travaglià in ASELSAN A.Ş.

Esempiu di documentu di decoyMuddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare
Dopu chì l'utilizatore hà attivatu macros maliziusi, u POWERSTATS backdoor hè scaricatu à l'urdinatore di a vittima.

Grâce aux métadonnées de ce document decoy (MD5 : 0638adf8fb4095d60fbef190a759aa9e) i circadori anu pussutu truvà trè campioni supplementari chì cuntenenu valuri identici, cumprese a data è l'ora di creazione, u nome d'utilizatore è una lista di macros cuntenuti:

  • ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
  • asd.doc (21aebece73549b3c4355a6060df410e9)
  • F35-Specificazioni.doc (5c6148619abb10bb3789dcfb32f759a6)

Screenshot di metadati identici di diversi documenti di decoy Muddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare

Unu di i ducumenti scuperti cù u nome ListOfHackedEmails.doc cuntene una lista di 34 indirizzi email chì appartenenu à u duminiu @aselsan.com.tr.

I specialisti di u Gruppu IB anu verificatu l'indirizzi email in fughe publicamente dispunibuli è truvaru chì 28 d'elli eranu cumprumessi in fughe scuperte prima. A verificazione di u mischju di fughe dispunibuli hà dimustratu circa 400 logins unichi assuciati cù stu duminiu è password per elli. Hè pussibule chì l'attaccanti anu utilizatu questi dati dispunibuli publicamente per attaccà ASELSAN A.Ş.

Screenshot di u documentu ListOfHackedEmails.doc Muddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare

Screenshot di una lista di più di 450 coppie login-password rilevate in fughe publiche Muddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare
Trà i campioni scuperti ci era ancu un documentu cù u titulu F35-Specificazioni.doc, in riferimentu à u jet di caccia F-35. U documentu di l'esca hè una specificazione per u F-35 multi-role fighter-bomber, chì indica e caratteristiche di l'aviò è u prezzu. U tema di stu documentu di decoy hè direttamente in relazione cù u rifiutu di i Stati Uniti di furnisce F-35 dopu l'acquistu di Turchia di i sistemi S-400 è a minaccia di trasferimentu d'infurmazioni nantu à u F-35 Lightning II in Russia.

Tutti i dati ricivuti indicanu chì i principali obiettivi di l'attacchi cibernetici di MuddyWater eranu urganisazioni situate in Turchia.

Quale sò Gladiyator_CRK è Nima Nikjoo?

Prima, in marzu 2019, i ducumenti maliziusi sò stati scuperti creati da un utilizatore di Windows sottu u soprannomu Gladiyator_CRK. Questi documenti anu distribuitu ancu u POWERSTATS backdoor è cunnessu à un servitore C&C cù un nome simili gladiatore[.]tk.

Questu pò esse fattu dopu chì l'utilizatore Nima Nikjoo hà publicatu in Twitter u 14 di marzu di u 2019, pruvatu à decodificà u codice offuscatu assuciatu cù MuddyWater. In i cumenti à stu tweet, l'investigatore hà dettu chì ùn pudia micca sparte indicatori di cumprumissu per stu malware, postu chì sta informazione hè cunfidenziale. Sfurtunatamente, u post hè digià statu sguassatu, ma tracce di ellu restanu in linea:

Muddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare
Muddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare
Nima Nikjoo hè u pruprietariu di u prufilu Gladiyator_CRK nantu à i siti di hosting video iraniani dideo.ir è videoi.ir. In questu situ, dimustra PoC exploits per disattivà l'arnesi antivirus da diversi venditori è bypass sandboxes. Nima Nikjoo scrive nantu à ellu stessu chì hè un specialista in a sicurità di a rete, è ancu un ingegnere inversu è un analista di malware chì travaglia per MTN Irancell, una cumpagnia di telecomunicazioni iraniana.

Screenshot di i video salvati in i risultati di ricerca di Google:

Muddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare
Muddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare
In seguitu, u 19 di marzu di u 2019, l'utilizatore Nima Nikjoo nantu à a reta suciale Twitter hà cambiatu u so soprannomu in Malware Fighter, è ancu sguassatu i posti è i cumenti cunnessi. U prufilu di Gladiyator_CRK nantu à u video hosting dideo.ir hè statu ancu sguassatu, cum'è u casu in YouTube, è u prufilu stessu hè statu rinominatu N Tabrizi. Tuttavia, quasi un mese dopu (16 d'aprile 2019), u contu Twitter hà cuminciatu à aduprà u nome Nima Nikjoo di novu.

Duranti u studiu, i specialisti Group-IB anu scupertu chì Nima Nikjoo era digià statu mintuatu in cunnessione cù l'attività cibercriminali. In l'aostu di u 2014, u blog Iran Khabarestan hà publicatu infurmazioni nantu à e persone assuciate à u gruppu cibercriminale Iranian Nasr Institute. Una investigazione FireEye hà dichjaratu chì Nasr Institute era un cuntrattu per APT33 è era ancu implicatu in attacchi DDoS à i banche americani trà 2011 è 2013 in parte di una campagna chjamata Operazione Ababil.

Allora in u stessu blog hè statu citatu Nima Nikju-Nikjoo, chì sviluppava malware per spia l'Iraniani, è u so indirizzu email: gladiyator_cracker@yahoo[.]com.

Screenshot di dati chì sò attribuiti à i cibercriminali da l'Istitutu Nasr Iranian:

Muddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare
Traduzzione di u testu evidenziatu in Russu: Nima Nikio - Sviluppatore di spyware - Email:.

Comu pò esse vistu da questa infurmazione, l'indirizzu email hè assuciatu cù l'indirizzu utilizatu in l'attacchi è l'utilizatori Gladiyator_CRK è Nima Nikjoo.

Inoltre, l'articulu di u 15 di ghjugnu 2017 hà dichjaratu chì Nikjoo era un pocu imprudente in a pubblicazione di referenze à u Centru di Sicurezza Kavosh in u so curriculum vitae. Manghja opinionechì u Centru di Sicurezza di Kavosh hè sustinutu da u statu iranianu per finanzià i pirate di u guvernu.

Informazioni nantu à a cumpagnia induve Nima Nikjoo hà travagliatu:

Muddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare
U prufilu LinkedIn di l'utilizatori di Twitter Nima Nikjoo elenca u so primu postu di travagliu cum'è Kavosh Security Center, induve hà travagliatu da 2006 à 2014. Duranti u so travagliu, hà studiatu diversi malware, è ancu trattatu di u travagliu inversu è di l'obfuscazione.

Informazioni nantu à a cumpagnia Nima Nikjoo hà travagliatu nantu à LinkedIn:

Muddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare

MuddyWater è alta autoestima

Hè curiosu chì u gruppu MuddyWater cuntrolla currettamente tutti i rapporti è i missaghji da i sperti di sicurezza di l'infurmazioni publicati annantu à elli, è ancu deliberatamente lasciatu falsi bandieri in prima per caccià i circadori fora di l'odore. Per esempiu, i so primi attacchi ingannatu i sperti detectendu l'usu di DNS Messenger, chì era cumunimenti assuciatu cù u gruppu FIN7. In altri attacchi, anu inseritu strings Chinese in u codice.

Inoltre, u gruppu li piace à lascià missaghji per i circadori. Per esempiu, ùn anu micca piaciutu chì Kaspersky Lab hà postu MuddyWater in u 3u postu in a so classificazione di minaccia per l'annu. À u listessu mumentu, qualchissia - presumibbilmente u gruppu MuddyWater - hà caricatu un PoC di un sfruttamentu à YouTube chì disattiva l'antivirus LK. Anu ancu lasciatu un cumentu sottu à l'articulu.

Screenshots di u video nantu à a disattivazione di l'antivirus Kaspersky Lab è u cummentariu sottu:

Muddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare
Muddy waters: cumu i pirate di MuddyWater anu attaccatu un fabricatore turcu di l'elettronica militare
Hè sempre difficiule di fà una cunclusione senza ambiguità nantu à l'implicazione di "Nima Nikjoo". L'esperti di u Gruppu IB cunsidereghjanu duie versioni. Nima Nikjoo, veramente, pò esse un pirate di u gruppu MuddyWater, chì hè vinutu à a luce per via di a so negligenza è di l'attività aumentata in a reta. A seconda opzione hè ch'ellu era deliberatamente "espostu" da altri membri di u gruppu per svià a sospetenza da elli stessi. In ogni casu, u Gruppu-IB cuntinueghja a so ricerca è di sicuru riportà i so risultati.

In quantu à l'APT iraniani, dopu à una seria di fughe è fughe, anu da esse prubabilmente affruntatu un seriu "debriefing" - i pirate seranu custretti à cambià seriamente i so arnesi, pulizziari e so piste è truvà pussibuli "moles" in i so ranchi. I sperti ùn anu micca escluditu chì anu da piglià ancu un timeout, ma dopu à una breve pausa, l'attacchi APT iraniani cuntinueghjanu di novu.

Source: www.habr.com

Add a comment