Mae hacwyr o blaid llywodraeth Iran mewn trafferth mawr. Trwy gydol y gwanwyn, cyhoeddodd pobl anhysbys “gollyngiadau cyfrinachol” ar Telegram - gwybodaeth am grwpiau APT sy'n gysylltiedig â llywodraeth Iran - Rig olew и Dwfr Mwdlyd — eu hoffer, dioddefwyr, cysylltiadau. Ond nid am bawb. Ym mis Ebrill, darganfu arbenigwyr Group-IB ollyngiad o gyfeiriadau postio’r gorfforaeth Twrcaidd ASELSAN A.Ş, sy’n cynhyrchu radios milwrol tactegol a systemau amddiffyn electronig ar gyfer lluoedd arfog Twrci. Anastasia Tikhonova, Arweinydd Tîm Ymchwil Bygythiad Uwch Grŵp-IB, a Nikita Rostovtsev, dadansoddwr iau yn Group-IB, wedi disgrifio cwrs yr ymosodiad ar ASELSAN A.Ş a dod o hyd i gyfranogwr posibl Dwfr Mwdlyd.
Goleuo trwy Telegram
Dechreuodd y gollyngiad o grwpiau APT Iran gyda'r ffaith bod rhai Lab Doukhtegan datgelodd codau ffynhonnell chwe offer APT34 (aka OilRig a HelixKitten), y cyfeiriadau IP a'r parthau sy'n ymwneud â'r gweithrediadau, yn ogystal â data ar ddioddefwyr 66 o hacwyr, gan gynnwys Etihad Airways ac Emirates National Oil. Fe wnaeth Lab Dooohtegan hefyd ollwng data am weithrediadau’r grŵp yn y gorffennol a gwybodaeth am weithwyr Gweinyddiaeth Gwybodaeth a Diogelwch Cenedlaethol Iran yr honnir eu bod yn gysylltiedig â gweithrediadau’r grŵp. Mae OilRig yn grŵp APT sy'n gysylltiedig ag Iran sydd wedi bodoli ers tua 2014 ac sy'n targedu sefydliadau llywodraeth, ariannol a milwrol, yn ogystal â chwmnïau ynni a thelathrebu yn y Dwyrain Canol a Tsieina.
Ar ôl i OilRig gael ei ddatgelu, parhaodd y gollyngiadau - ymddangosodd gwybodaeth am weithgareddau grŵp pro-wladwriaeth arall o Iran, MuddyWater, ar y darknet ac ar Telegram. Fodd bynnag, yn wahanol i'r gollyngiad cyntaf, nid y codau ffynhonnell a gyhoeddwyd y tro hwn, ond tomenni, gan gynnwys sgrinluniau o'r codau ffynhonnell, gweinyddwyr rheoli, yn ogystal â chyfeiriadau IP dioddefwyr hacwyr yn y gorffennol. Y tro hwn, cymerodd hacwyr Green Leakers gyfrifoldeb am y gollyngiad am MuddyWater. Maent yn berchen ar sawl sianel Telegram a gwefannau darknet lle maent yn hysbysebu ac yn gwerthu data sy'n ymwneud â gweithrediadau MuddyWater.
Seiber ysbiwyr o'r Dwyrain Canol
Dwfr Mwdlyd yn grŵp sydd wedi bod yn weithgar ers 2017 yn y Dwyrain Canol. Er enghraifft, fel y noda arbenigwyr Group-IB, rhwng mis Chwefror a mis Ebrill 2019, cynhaliodd hacwyr gyfres o bostio gwe-rwydo wedi'u hanelu at y llywodraeth, sefydliadau addysgol, cwmnïau ariannol, telathrebu ac amddiffyn yn Nhwrci, Iran, Affganistan, Irac ac Azerbaijan.
Mae aelodau'r grŵp yn defnyddio drws cefn o'u datblygiad eu hunain yn seiliedig ar PowerShell, a elwir POWERSTATS. Mae'n gallu:
- casglu data am gyfrifon lleol a pharth, gweinyddwyr ffeiliau sydd ar gael, cyfeiriadau IP mewnol ac allanol, enw a phensaernïaeth OS;
- cyflawni gweithredu cod o bell;
- lanlwytho a lawrlwytho ffeiliau trwy C&C;
- canfod presenoldeb rhaglenni dadfygio a ddefnyddir wrth ddadansoddi ffeiliau maleisus;
- cau'r system i lawr os deuir o hyd i raglenni ar gyfer dadansoddi ffeiliau maleisus;
- dileu ffeiliau o yriannau lleol;
- cymryd sgrinluniau;
- analluogi mesurau diogelwch mewn cynhyrchion Microsoft Office.
Ar ryw adeg, gwnaeth yr ymosodwyr gamgymeriad a llwyddodd ymchwilwyr o ReaQta i gael y cyfeiriad IP terfynol, a oedd wedi'i leoli yn Tehran. O ystyried y targedau yr ymosodwyd arnynt gan y grŵp, yn ogystal â'i nodau sy'n ymwneud ag ysbïo seiber, mae arbenigwyr wedi awgrymu bod y grŵp yn cynrychioli buddiannau llywodraeth Iran.
Dangosyddion ymosodiadC&C:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Ffeiliau:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye dan ymosodiad
Ar Ebrill 10, 2019, darganfu arbenigwyr Group-IB ollyngiad o gyfeiriadau post y cwmni Twrcaidd ASELSAN A.Ş, y cwmni mwyaf ym maes electroneg milwrol yn Nhwrci. Mae ei gynnyrch yn cynnwys radar ac electroneg, electro-opteg, afioneg, systemau di-griw, tir, llynges, arfau a systemau amddiffyn awyr.
Wrth astudio un o'r samplau newydd o malware POWERSTATS, penderfynodd arbenigwyr Group-IB fod y grŵp MuddyWater o ymosodwyr a ddefnyddir fel abwyd yn dogfennu cytundeb trwydded rhwng Koç Savunma, cwmni sy'n cynhyrchu atebion ym maes technolegau gwybodaeth ac amddiffyn, a Tubitak Bilgem , canolfan ymchwil diogelwch gwybodaeth a thechnolegau uwch. Y person cyswllt ar gyfer Koç Savunma oedd Tahir Taner Tımış, a ddaliodd swydd Rheolwr Rhaglenni yn Koç Bilgi ve Savunma Teknolojileri A.Ş. o fis Medi 2013 i fis Rhagfyr 2018. Yn ddiweddarach dechreuodd weithio yn ASELSAN A.Ş.
Dogfen decoy enghreifftiol
Ar ôl i'r defnyddiwr actifadu macros maleisus, mae drws cefn POWERSTATS yn cael ei lawrlwytho i gyfrifiadur y dioddefwr.
Diolch i fetadata'r ddogfen decoy hon (MD5: 0638adf8fb4095d60fbef190a759aa9e) roedd ymchwilwyr yn gallu dod o hyd i dri sampl ychwanegol yn cynnwys gwerthoedd union yr un fath, gan gynnwys y dyddiad a'r amser creu, enw defnyddiwr, a rhestr o macros yn cynnwys:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Manylebau.doc (5c6148619abb10bb3789dcfb32f759a6)
Sgrinlun o fetadata union yr un fath o ddogfennau decoy amrywiol
Un o'r dogfennau a ddarganfuwyd gyda'r enw ListOfHackedEmails.doc yn cynnwys rhestr o 34 o gyfeiriadau e-bost sy'n perthyn i'r parth @aselsan.com.tr.
Gwiriodd arbenigwyr Group-IB gyfeiriadau e-bost mewn gollyngiadau a oedd ar gael yn gyhoeddus a chanfod bod 28 ohonynt wedi'u peryglu gan ollyngiadau a ddarganfuwyd yn flaenorol. Roedd gwirio'r cymysgedd o ollyngiadau sydd ar gael yn dangos tua 400 o fewngofnodi unigryw sy'n gysylltiedig â'r parth hwn a chyfrineiriau ar eu cyfer. Mae’n bosibl bod ymosodwyr wedi defnyddio’r data hwn sydd ar gael yn gyhoeddus i ymosod ar ASELSAN A.Ş.
Ciplun o'r ddogfen ListOfHackedEmails.doc
Ciplun o restr o fwy na 450 o barau mewngofnodi-cyfrinair a ganfuwyd mewn gollyngiadau cyhoeddus
Ymhlith y samplau a ddarganfuwyd roedd dogfen gyda'r teitl hefyd F35-Manylebau.doc, gan gyfeirio at y jet ymladdwr F-35. Mae'r ddogfen abwyd yn fanyleb ar gyfer yr ymladdwr-fomiwr aml-rôl F-35, sy'n nodi nodweddion a phris yr awyren. Mae pwnc y ddogfen decoy hon yn ymwneud yn uniongyrchol â gwrthodiad yr Unol Daleithiau i gyflenwi F-35s ar ôl i Dwrci brynu'r systemau S-400 a'r bygythiad o drosglwyddo gwybodaeth am y F-35 Lightning II i Rwsia.
Roedd yr holl ddata a dderbyniwyd yn nodi mai prif dargedau ymosodiadau seiber MuddyWater oedd sefydliadau sydd wedi'u lleoli yn Nhwrci.
Pwy yw Gladiyator_CRK a Nima Nikjoo?
Yn gynharach, ym mis Mawrth 2019, darganfuwyd dogfennau maleisus a grëwyd gan un defnyddiwr Windows o dan y llysenw Gladiyator_CRK. Roedd y dogfennau hyn hefyd yn dosbarthu drws cefn POWERSTATS ac yn cysylltu â gweinydd C&C gydag enw tebyg gladiator[.]tk.
Efallai bod hyn wedi'i wneud ar ôl i'r defnyddiwr Nima Nikjoo bostio ar Twitter ar Fawrth 14, 2019, gan geisio dadgodio cod obfuscated sy'n gysylltiedig â MuddyWater. Yn y sylwadau i'r tweet hwn, dywedodd yr ymchwilydd na allai rannu dangosyddion cyfaddawdu ar gyfer y malware hwn, gan fod y wybodaeth hon yn gyfrinachol. Yn anffodus, mae'r post eisoes wedi'i ddileu, ond erys olion ohono ar-lein:
Nima Nikjoo yw perchennog proffil Gladiyator_CRK ar wefannau cynnal fideo Iran dideo.ir a videoi.ir. Ar y wefan hon, mae'n dangos campau PoC i analluogi offer gwrthfeirws gan wahanol werthwyr a osgoi blychau tywod. Mae Nima Nikjoo yn ysgrifennu amdano'i hun ei fod yn arbenigwr diogelwch rhwydwaith, yn ogystal â pheiriannydd gwrthdro a dadansoddwr malware sy'n gweithio i MTN Irancell, cwmni telathrebu o Iran.
Ciplun o fideos sydd wedi'u cadw yng nghanlyniadau chwilio Google:
Yn ddiweddarach, ar Fawrth 19, 2019, newidiodd y defnyddiwr Nima Nikjoo ar y rhwydwaith cymdeithasol Twitter ei lysenw i Malware Fighter, a dileu hefyd swyddi a sylwadau cysylltiedig. Cafodd proffil Gladiyator_CRK ar y fideo hosting dideo.ir ei ddileu hefyd, fel yn achos YouTube, ac ailenwyd y proffil ei hun yn N Tabrizi. Fodd bynnag, bron i fis yn ddiweddarach (Ebrill 16, 2019), dechreuodd y cyfrif Twitter ddefnyddio'r enw Nima Nikjoo eto.
Yn ystod yr astudiaeth, darganfu arbenigwyr Group-IB fod Nima Nikjoo eisoes wedi'i grybwyll mewn cysylltiad â gweithgareddau seiberdroseddol. Ym mis Awst 2014, cyhoeddodd blog Iran Khabarestan wybodaeth am unigolion sy'n gysylltiedig â'r grŵp seiberdroseddol Sefydliad Nasr Iran. Dywedodd un ymchwiliad FireEye fod Sefydliad Nasr yn gontractwr ar gyfer APT33 a’i fod hefyd yn rhan o ymosodiadau DDoS ar fanciau’r Unol Daleithiau rhwng 2011 a 2013 fel rhan o ymgyrch o’r enw Operation Ababil.
Felly yn yr un blog, soniwyd am Nima Nikju-Nikjoo, a oedd yn datblygu malware i ysbïo ar Iraniaid, a'i gyfeiriad e-bost: gladiyator_cracker@yahoo[.]com.
Sgrinlun o ddata a briodolir i seiberdroseddwyr o Sefydliad Nasr Iran:
Cyfieithu'r testun wedi'i amlygu i Rwsieg: Nima Nikio - Datblygwr Ysbïwedd - E-bost:.
Fel y gwelir o'r wybodaeth hon, mae'r cyfeiriad e-bost yn gysylltiedig â'r cyfeiriad a ddefnyddiwyd yn yr ymosodiadau a'r defnyddwyr Gladyator_CRK a Nima Nikjoo.
Yn ogystal, nododd erthygl Mehefin 15, 2017 fod Nikjoo braidd yn ddiofal wrth bostio cyfeiriadau at Kavosh Security Center ar ei ailddechrau. Bwyta bod Canolfan Ddiogelwch Kavosh yn cael ei chefnogi gan dalaith Iran i ariannu hacwyr o blaid y llywodraeth.
Gwybodaeth am y cwmni lle bu Nima Nikjoo yn gweithio:
Mae proffil LinkedIn defnyddiwr Twitter Nima Nikjoo yn rhestru ei le cyflogaeth cyntaf fel Canolfan Ddiogelwch Kavosh, lle bu'n gweithio rhwng 2006 a 2014. Yn ystod ei waith, astudiodd amrywiol faleiswedd, a deliodd hefyd â gwaith yn ymwneud â gwrthdroi a rhwystredigaeth.
Gwybodaeth am y cwmni y bu Nima Nikjoo yn gweithio iddo ar LinkedIn:
MuddyWater a hunan-barch uchel
Mae'n chwilfrydig bod grŵp MuddyWater yn monitro'n ofalus yr holl adroddiadau a negeseuon gan arbenigwyr diogelwch gwybodaeth a gyhoeddir amdanynt, a hyd yn oed gadael baneri ffug yn fwriadol ar y dechrau er mwyn taflu ymchwilwyr oddi ar yr arogl. Er enghraifft, fe wnaeth eu hymosodiadau cyntaf gamarwain arbenigwyr trwy ganfod y defnydd o DNS Messenger, a oedd yn gysylltiedig yn gyffredin â'r grŵp FIN7. Mewn ymosodiadau eraill, fe wnaethant fewnosod llinynnau Tsieineaidd yn y cod.
Yn ogystal, mae'r grŵp wrth eu bodd yn gadael negeseuon i ymchwilwyr. Er enghraifft, nid oeddent yn hoffi bod Kaspersky Lab wedi gosod MuddyWater yn y 3ydd safle yn ei sgôr bygythiad am y flwyddyn. Ar yr un foment, mae rhywun - y grŵp MuddyWater yn ôl pob tebyg - wedi uwchlwytho PoC o ecsbloet i YouTube sy'n analluogi gwrthfeirws LK. Gadawsant sylw hefyd o dan yr erthygl.
Sgrinluniau o'r fideo ar analluogi gwrthfeirws Kaspersky Lab a'r sylwebaeth isod:
Mae'n dal yn anodd dod i gasgliad diamwys am gyfranogiad "Nima Nikjoo". Mae arbenigwyr Group-IB yn ystyried dwy fersiwn. Efallai bod Nima Nikjoo, yn wir, yn haciwr o'r grŵp MuddyWater, a ddaeth i'r amlwg oherwydd ei esgeulustod a'i weithgarwch cynyddol ar y rhwydwaith. Yr ail opsiwn yw iddo gael ei “ddinoethi” yn fwriadol gan aelodau eraill o’r grŵp er mwyn dargyfeirio amheuaeth oddi wrth eu hunain. Beth bynnag, mae Group-IB yn parhau â'i ymchwil a bydd yn bendant yn adrodd ar ei ganlyniadau.
O ran APTs o Iran, ar ôl cyfres o ollyngiadau a gollyngiadau, mae'n debyg y byddant yn wynebu "ôl-drafodaeth" difrifol - bydd hacwyr yn cael eu gorfodi i newid eu hoffer o ddifrif, glanhau eu traciau a dod o hyd i "dyrchod daear" posibl yn eu rhengoedd. Ni ddiystyrodd arbenigwyr y byddent hyd yn oed yn cymryd saib, ond ar ôl egwyl fer, parhaodd ymosodiadau APT Iran eto.
Ffynhonnell: hab.com