Íránští provládní hackeři mají velké problémy. Během jara neznámí lidé publikovali na Telegramu „tajné úniky“ – informace o skupinách APT spojených s íránskou vládou – Ropná plošina и Kalná voda — jejich nástroje, oběti, spojení. Ale ne o všech. Specialisté Group-IB objevili v dubnu únik poštovních adres turecké korporace ASELSAN A.Ş, která vyrábí taktické vojenské vysílačky a elektronické obranné systémy pro turecké ozbrojené síly. Anastasia Tichonova, vedoucí týmu pokročilého výzkumu hrozeb Group-IB a Nikita Rostovtsev, junior analytik Group-IB, popsal průběh útoku na ASELSAN A.Ş a našel možného účastníka Kalná voda.
Osvětlení přes telegram
Únik íránských skupin APT začal tím, že jistý Lab Doukhtegan zdrojové kódy šesti nástrojů APT34 (aka OilRig a HelixKitten) odhalily IP adresy a domény zapojené do operací a také údaje o 66 obětech hackerů, včetně Etihad Airways a Emirates National Oil. Z Lab Doookhtegan také unikla data o minulých operacích skupiny a informace o zaměstnancích íránského ministerstva informací a národní bezpečnosti, kteří jsou údajně spojeni s operacemi skupiny. OilRig je skupina APT napojená na Írán, která existuje přibližně od roku 2014 a zaměřuje se na vládní, finanční a vojenské organizace a také energetické a telekomunikační společnosti na Blízkém východě a v Číně.
Po odhalení OilRig úniky pokračovaly – na darknetu a na Telegramu se objevily informace o aktivitách další prostátní skupiny z Íránu MuddyWater. Na rozdíl od prvního úniku však tentokrát nebyly zveřejněny zdrojové kódy, ale výpisy, včetně screenshotů zdrojových kódů, kontrolních serverů a také IP adres minulých obětí hackerů. Tentokrát převzali odpovědnost za únik informací o MuddyWater hackeři Green Leakers. Vlastní několik telegramových kanálů a darknetových stránek, kde inzerují a prodávají data související s operacemi MuddyWater.
Kyberšpioni z Blízkého východu
Kalná voda je skupina, která působí od roku 2017 na Blízkém východě. Jak například poznamenali experti Group-IB, od února do dubna 2019 provedli hackeři řadu phishingových zpráv zaměřených na vládní, vzdělávací organizace, finanční, telekomunikační a obranné společnosti v Turecku, Íránu, Afghánistánu, Iráku a Ázerbájdžánu.
Členové skupiny využívají backdoor vlastního vývoje založeného na PowerShellu, který se nazývá POWERSTATY. Může:
- shromažďovat údaje o místních a doménových účtech, dostupných souborových serverech, interních a externích IP adresách, jménu a architektuře OS;
- provádět vzdálené spuštění kódu;
- nahrávat a stahovat soubory přes C&C;
- detekovat přítomnost ladicích programů používaných při analýze škodlivých souborů;
- vypněte systém, pokud jsou nalezeny programy pro analýzu škodlivých souborů;
- odstranit soubory z místních disků;
- pořizovat snímky obrazovky;
- deaktivovat bezpečnostní opatření v produktech Microsoft Office.
V určitém okamžiku útočníci udělali chybu a výzkumníkům z ReaQta se podařilo získat konečnou IP adresu, která se nacházela v Teheránu. Vzhledem k cílům, na které skupina útočila, a jejím cílům souvisejícím s kybernetickou špionáží, odborníci navrhli, aby skupina zastupovala zájmy íránské vlády.
Indikátory útokuC&C:
- gladiátor[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Soubory:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye pod útokem
Dne 10. dubna 2019 objevili specialisté Group-IB únik poštovních adres turecké společnosti ASELSAN A.Ş, největší společnosti v oblasti vojenské elektroniky v Turecku. Mezi její produkty patří radary a elektronika, elektrooptika, avionika, bezpilotní systémy, pozemní, námořní, zbraňové a protivzdušné obranné systémy.
Při studiu jednoho z nových vzorků malwaru POWERSTATS experti Group-IB zjistili, že skupina útočníků MuddyWater použila jako návnadu licenční smlouvu mezi Koç Savunma, společností vyrábějící řešení v oblasti informačních a obranných technologií, a Tubitak Bilgem. , výzkumné centrum informační bezpečnosti a pokročilé technologie. Kontaktní osobou pro Koç Savunma byl Tahir Taner Tımış, který zastával pozici programového manažera ve společnosti Koç Bilgi ve Savunma Teknolojileri A.Ş. od září 2013 do prosince 2018. Později začal pracovat ve společnosti ASELSAN A.Ş.
Ukázka návnadového dokumentu
Poté, co uživatel aktivuje škodlivá makra, se backdoor POWERSTATS stáhne do počítače oběti.
Díky metadatům tohoto návnadového dokumentu (MD5: 0638adf8fb4095d60fbef190a759aa9e) vědcům se podařilo najít tři další vzorky obsahující identické hodnoty, včetně data a času vytvoření, uživatelského jména a seznamu maker obsažených:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Snímek obrazovky identických metadat různých návnadových dokumentů
Jeden z objevených dokumentů se jménem ListOfHackedEmails.doc obsahuje seznam 34 emailových adres patřících do domény @aselsan.com.tr.
Specialisté Group-IB zkontrolovali e-mailové adresy ve veřejně dostupných únikech a zjistili, že 28 z nich bylo kompromitováno dříve objevenými úniky. Kontrola mixu dostupných úniků ukázala asi 400 unikátních přihlášení spojených s touto doménou a hesel k nim. Je možné, že útočníci použili tato veřejně dostupná data k útoku na ASELSAN A.Ş.
Snímek obrazovky dokumentu ListOfHackedEmails.doc
Snímek obrazovky se seznamem více než 450 zjištěných párů přihlašovací jméno-heslo ve veřejných únikech
Mezi objevenými vzorky byl i dokument s titulem F35-Specifikace.doc, s odkazem na stíhačku F-35. Dokument s návnadou je specifikací pro víceúčelový stíhací bombardér F-35 s uvedením vlastností a ceny letadla. Téma tohoto návnadového dokumentu přímo souvisí s odmítnutím USA dodat F-35 po tureckém nákupu systémů S-400 a hrozbou předání informací o F-35 Lightning II do Ruska.
Všechny obdržené údaje naznačovaly, že hlavními cíli kybernetických útoků MuddyWater byly organizace sídlící v Turecku.
Kdo jsou Gladiyator_CRK a Nima Nikjoo?
Dříve, v březnu 2019, byly objeveny škodlivé dokumenty vytvořené jedním uživatelem Windows pod přezdívkou Gladiyator_CRK. Tyto dokumenty také distribuovaly backdoor POWERSTATS a připojovaly se k serveru C&C s podobným názvem gladiátor[.]tk.
K tomu mohlo dojít poté, co uživatel Nima Nikjoo zveřejnil 14. března 2019 příspěvek na Twitteru a pokusil se dekódovat zatemněný kód spojený s MuddyWater. V komentářích k tomuto tweetu výzkumník uvedl, že nemůže sdílet indikátory kompromitace tohoto malwaru, protože tyto informace jsou důvěrné. Příspěvek již byl bohužel smazán, ale jeho stopy zůstávají online:
Nima Nikjoo je vlastníkem profilu Gladiyator_CRK na íránských webech pro hostování videa dideo.ir a videoi.ir. Na tomto webu demonstruje zneužití PoC k deaktivaci antivirových nástrojů od různých dodavatelů a obcházení sandboxů. Nima Nikjoo o sobě píše, že je specialistou na síťovou bezpečnost a také reverzním inženýrem a analytikem malwaru, který pracuje pro íránskou telekomunikační společnost MTN Irancell.
Snímek obrazovky uložených videí ve výsledcích vyhledávání Google:
Později, 19. března 2019, si uživatel Nima Nikjoo na sociální síti Twitter změnil přezdívku na Malware Fighter a také smazal související příspěvky a komentáře. Byl také smazán profil Gladiyator_CRK na videohostingu dideo.ir, jako tomu bylo na YouTube, a samotný profil byl přejmenován na N Tabrizi. Téměř o měsíc později (16. dubna 2019) však twitterový účet opět začal používat jméno Nima Nikjoo.
Během studie specialisté Group-IB zjistili, že Nima Nikjoo již byla zmíněna v souvislosti s kyberkriminálními aktivitami. V srpnu 2014 blog Iran Khabarestan zveřejnil informace o jednotlivcích spojených s kyberzločineckou skupinou Iranian Nasr Institute. Jedno vyšetřování FireEye uvedlo, že Nasr Institute byl dodavatelem APT33 a byl také zapojen do DDoS útoků na americké banky v letech 2011 až 2013 jako součást kampaně s názvem Operation Ababil.
Takže ve stejném blogu byl zmíněn Nima Nikju-Nikjoo, který vyvíjel malware pro špehování Íránců, a jeho e-mailová adresa: gladiyator_cracker@yahoo[.]com.
Snímek obrazovky dat připisovaných kyberzločincům z íránského institutu Nasr:
Překlad zvýrazněného textu do ruštiny: Nima Nikio – Vývojář spywaru – E-mail:.
Jak je z těchto informací patrné, e-mailová adresa je spojena s adresou použitou při útocích a uživateli Gladiyator_CRK a Nima Nikjoo.
Kromě toho článek z 15. června 2017 uvedl, že Nikjoo byl poněkud nedbalý při zveřejňování odkazů na Kavosh Security Center ve svém životopisu. Jíst že Kavosh Security Center je podporován íránským státem k financování provládních hackerů.
Informace o společnosti, kde Nima Nikjoo pracoval:
Profil uživatele Twitteru Nima Nikjoo na LinkedIn uvádí jeho první místo zaměstnání jako Kavosh Security Center, kde pracoval v letech 2006 až 2014. Během své práce studoval různý malware, zabýval se i reverzní a zamlžovací prací.
Informace o společnosti, pro kterou Nima Nikjoo pracovala na LinkedIn:
MuddyWater a vysoké sebevědomí
Je zvláštní, že skupina MuddyWater pečlivě monitoruje všechny zprávy a zprávy od odborníků na informační bezpečnost, které o nich byly zveřejněny, a dokonce zpočátku záměrně nechávala falešné vlajky, aby výzkumníky vyhnala z pachu. Například jejich první útoky uvedly v omyl odborníky tím, že odhalily použití DNS Messengeru, který byl běžně spojován se skupinou FIN7. Při dalších útocích vkládali do kódu čínské řetězce.
Kromě toho skupina ráda zanechává zprávy výzkumníkům. Nelíbilo se jim například, že společnost Kaspersky Lab umístila MuddyWater na 3. místo ve svém hodnocení hrozeb pro daný rok. Ve stejnou chvíli někdo – pravděpodobně skupina MuddyWater – nahrál na YouTube PoC exploitu, který deaktivuje antivirus LK. Pod článkem také zanechali komentář.
Snímky obrazovky videa o deaktivaci antiviru Kaspersky Lab a níže uvedený komentář:
Je stále obtížné učinit jednoznačný závěr o zapojení „Nima Nikjoo“. Experti Group-IB zvažují dvě verze. Nima Nikjoo může být skutečně hackerem ze skupiny MuddyWater, který vyšel najevo svou nedbalostí a zvýšenou aktivitou na síti. Druhou možností je, že byl záměrně „odhalen“ ostatními členy skupiny, aby odvrátili podezření od nich samotných. V každém případě Group-IB pokračuje ve svém výzkumu a rozhodně o svých výsledcích podá zprávu.
Co se týče íránských APT, po sérii úniků a úniků budou pravděpodobně čelit vážnému „debriefingu“ – hackeři budou nuceni vážně změnit své nástroje, vyčistit své stopy a najít v jejich řadách možné „krtky“. Experti nevyloučili, že si vezmou i timeout, ale po krátké přestávce íránské útoky APT opět pokračovaly.
Zdroj: www.habr.com