Iranske regeringsvenlige hackere er i store problemer. Hele foråret har ukendte personer offentliggjort "hemmelige lækager" på Telegram - oplysninger om APT-grupper forbundet med den iranske regering - Boreplatform и Mudret vand — deres værktøjer, ofre, forbindelser. Men ikke om alle. I april opdagede Group-IB-specialister en lækage af postadresser på det tyrkiske selskab ASELSAN A.Ş, som producerer taktiske militærradioer og elektroniske forsvarssystemer til de tyrkiske væbnede styrker. Anastasia Tikhonova, Group-IB Advanced Threat Research Team Leader, og Nikita Rostovtsev, junioranalytiker hos Group-IB, beskrev forløbet af angrebet på ASELSAN A.Ş og fandt en mulig deltager Mudret vand.
Belysning via telegram
Lækken af iranske APT-grupper begyndte med, at en vis Lab Doukhtegan kildekoderne til seks APT34-værktøjer (alias OilRig og HelixKitten), afslørede IP-adresser og domæner involveret i operationerne, samt data om 66 ofre for hackere, herunder Etihad Airways og Emirates National Oil. Lab Doookhtegan lækkede også data om gruppens tidligere operationer og oplysninger om ansatte i det iranske ministerium for information og national sikkerhed, som angiveligt er forbundet med gruppens operationer. OilRig er en Iran-tilknyttet APT-gruppe, der har eksisteret siden omkring 2014 og retter sig mod statslige, finansielle og militære organisationer samt energi- og telekommunikationsselskaber i Mellemøsten og Kina.
Efter at OilRig blev afsløret, fortsatte lækagen - oplysninger om aktiviteterne i en anden pro-statsgruppe fra Iran, MuddyWater, dukkede op på darknet og på Telegram. Men i modsætning til det første læk, var det denne gang ikke kildekoderne, der blev offentliggjort, men dumps, inklusive skærmbilleder af kildekoderne, kontrolservere samt IP-adresserne på tidligere ofre for hackere. Denne gang tog Green Leakers hackere ansvaret for lækket om MuddyWater. De ejer flere Telegram-kanaler og darknet-websteder, hvor de annoncerer og sælger data relateret til MuddyWater-operationer.
Cyberspioner fra Mellemøsten
Mudret vand er en gruppe, der har været aktiv siden 2017 i Mellemøsten. For eksempel, som Group-IB-eksperter bemærker, udførte hackere fra februar til april 2019 en række phishing-mails rettet mod regeringer, uddannelsesorganisationer, finans-, telekommunikations- og forsvarsvirksomheder i Tyrkiet, Iran, Afghanistan, Irak og Aserbajdsjan.
Gruppens medlemmer bruger en bagdør til deres egen udvikling baseret på PowerShell, som kaldes POWERSTATS. Han kan:
- indsamle data om lokale og domænekonti, tilgængelige filservere, interne og eksterne IP-adresser, navn og OS-arkitektur;
- udføre fjernudførelse af kode;
- upload og download filer via C&C;
- opdage tilstedeværelsen af debugging-programmer, der bruges i analysen af ondsindede filer;
- lukke systemet ned, hvis der findes programmer til analyse af ondsindede filer;
- slet filer fra lokale drev;
- tage skærmbilleder;
- deaktiver sikkerhedsforanstaltninger i Microsoft Office-produkter.
På et tidspunkt begik angriberne en fejl, og det lykkedes forskere fra ReaQta at få fat i den endelige IP-adresse, som var placeret i Teheran. I betragtning af de mål, gruppen angreb, såvel som dens mål relateret til cyberspionage, har eksperter foreslået, at gruppen repræsenterer den iranske regerings interesser.
AngrebsindikatorerC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
filer:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye under angreb
Den 10. april 2019 opdagede Group-IB-specialister en lækage af postadresser på det tyrkiske firma ASELSAN A.Ş, det største firma inden for militærelektronik i Tyrkiet. Dets produkter omfatter radar og elektronik, elektrooptik, flyelektronik, ubemandede systemer, land-, flåde-, våben- og luftforsvarssystemer.
Ved at studere en af de nye prøver af POWERSTATS malware, fastslog Group-IB-eksperter, at MuddyWater-gruppen af angribere brugte som lokkemiddel en licensaftale mellem Koç Savunma, en virksomhed, der producerer løsninger inden for informations- og forsvarsteknologier, og Tubitak Bilgem , et informationssikkerhedsforskningscenter og avancerede teknologier. Kontaktpersonen for Koç Savunma var Tahir Taner Tımış, som havde stillingen som Program Manager hos Koç Bilgi ve Savunma Teknolojileri A.Ş. fra september 2013 til december 2018. Senere begyndte han at arbejde hos ASELSAN A.Ş.
Eksempel på lokkedokument
Efter at brugeren har aktiveret ondsindede makroer, downloades POWERSTATS-bagdøren til ofrets computer.
Takket være metadataene i dette lokkedokument (MD5: 0638adf8fb4095d60fbef190a759aa9e) forskere var i stand til at finde tre yderligere prøver, der indeholdt identiske værdier, inklusive oprettelsesdato og -tidspunkt, brugernavn og en liste over makroer indeholdt:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Skærmbillede af identiske metadata af forskellige lokkedokumenter
Et af de opdagede dokumenter med navnet ListOfHackedEmails.doc indeholder en liste med 34 e-mailadresser, der tilhører domænet @aselsan.com.tr.
Group-IB-specialister tjekkede e-mail-adresser i offentligt tilgængelige lækager og fandt ud af, at 28 af dem var kompromitteret i tidligere opdagede lækager. Kontrol af blandingen af tilgængelige lækager viste omkring 400 unikke logins forbundet med dette domæne og adgangskoder til dem. Det er muligt, at angribere brugte disse offentligt tilgængelige data til at angribe ASELSAN A.Ş.
Skærmbillede af dokumentet ListOfHackedEmails.doc
Skærmbillede af en liste med mere end 450 registrerede login-adgangskodepar i offentlige lækager
Blandt de opdagede prøver var der også et dokument med titlen F35-Specifikationer.doc, med henvisning til F-35 kampflyet. Agndokumentet er en specifikation for F-35 multi-rolle jagerbomber, der angiver flyets egenskaber og pris. Emnet for dette lokkedokument relaterer direkte til USA's afvisning af at levere F-35 efter Tyrkiets køb af S-400-systemerne og truslen om at overføre information om F-35 Lightning II til Rusland.
Alle de modtagne data indikerede, at hovedmålene for MuddyWater cyberangreb var organisationer i Tyrkiet.
Hvem er Gladiyator_CRK og Nima Nikjoo?
Tidligere, i marts 2019, blev ondsindede dokumenter opdaget oprettet af en Windows-bruger under kaldenavnet Gladiyator_CRK. Disse dokumenter distribuerede også POWERSTATS-bagdøren og koblede til en C&C-server med et lignende navn gladiyator[.]tk.
Dette kan være blevet gjort, efter at brugeren Nima Nikjoo postede på Twitter den 14. marts 2019 i et forsøg på at afkode sløret kode forbundet med MuddyWater. I kommentarerne til dette tweet sagde forskeren, at han ikke kunne dele indikatorer for kompromis for denne malware, da denne information er fortrolig. Desværre er indlægget allerede blevet slettet, men spor af det forbliver online:
Nima Nikjoo er ejer af Gladiyator_CRK-profilen på de iranske videohostingsider dideo.ir og videoi.ir. På dette websted demonstrerer han PoC-udnyttelse til at deaktivere antivirusværktøjer fra forskellige leverandører og omgå sandkasser. Nima Nikjoo skriver om sig selv, at han er netværkssikkerhedsspecialist, samt en reverse engineer og malware-analytiker, der arbejder for MTN Irancell, et iransk telekommunikationsselskab.
Skærmbillede af gemte videoer i Googles søgeresultater:
Senere, den 19. marts 2019, ændrede brugeren Nima Nikjoo på det sociale netværk Twitter sit kaldenavn til Malware Fighter og slettede også relaterede indlæg og kommentarer. Gladiyator_CRK's profil på videohostingen dideo.ir blev også slettet, som det var tilfældet på YouTube, og selve profilen blev omdøbt til N Tabrizi. Men næsten en måned senere (16. april 2019) begyndte Twitter-kontoen igen at bruge navnet Nima Nikjoo.
Under undersøgelsen opdagede Group-IB-specialister, at Nima Nikjoo allerede var blevet nævnt i forbindelse med cyberkriminelle aktiviteter. I august 2014 offentliggjorde Iran Khabarestan-bloggen information om personer tilknyttet den cyberkriminelle gruppe Iranian Nasr Institute. En FireEye-undersøgelse erklærede, at Nasr Institute var entreprenør for APT33 og også var involveret i DDoS-angreb på amerikanske banker mellem 2011 og 2013 som en del af en kampagne kaldet Operation Ababil.
Så i den samme blog blev Nima Nikju-Nikjoo nævnt, som udviklede malware til at spionere på iranere, og hans e-mailadresse: gladiyator_cracker@yahoo[.]com.
Skærmbillede af data tilskrevet cyberkriminelle fra Iranian Nasr Institute:
Oversættelse af den fremhævede tekst til russisk: Nima Nikio - Spyware-udvikler - E-mail:.
Som det kan ses af disse oplysninger, er e-mailadressen knyttet til den adresse, der blev brugt i angrebene og brugerne Gladiyator_CRK og Nima Nikjoo.
Derudover erklærede artiklen den 15. juni 2017, at Nikjoo var noget skødesløs med at poste referencer til Kavosh Security Center på sit CV. Spise at Kavosh Security Center er støttet af den iranske stat til at finansiere regeringsvenlige hackere.
Oplysninger om virksomheden, hvor Nima Nikjoo arbejdede:
Twitter-brugeren Nima Nikjoos LinkedIn-profil viser hans første ansættelsessted som Kavosh Security Center, hvor han arbejdede fra 2006 til 2014. Under sit arbejde studerede han forskellige malware og beskæftigede sig også med omvendt og sløringsrelateret arbejde.
Oplysninger om virksomheden Nima Nikjoo arbejdede for på LinkedIn:
MuddyWater og højt selvværd
Det er mærkeligt, at MuddyWater-gruppen omhyggeligt overvåger alle rapporter og beskeder fra informationssikkerhedseksperter, der offentliggøres om dem, og endda bevidst efterlod falske flag i starten for at kaste forskere ud af duften. For eksempel vildledte deres første angreb eksperter ved at opdage brugen af DNS Messenger, som almindeligvis var forbundet med FIN7-gruppen. I andre angreb indsatte de kinesiske strenge i koden.
Derudover elsker gruppen at efterlade beskeder til forskere. For eksempel kunne de ikke lide, at Kaspersky Lab placerede MuddyWater på en 3. plads i sin trusselvurdering for året. I samme øjeblik uploadede nogen - formentlig MuddyWater-gruppen - en PoC af en udnyttelse til YouTube, der deaktiverer LK antivirus. De efterlod også en kommentar under artiklen.
Skærmbilleder af videoen om deaktivering af Kaspersky Lab antivirus og kommentaren nedenfor:
Det er stadig svært at drage en entydig konklusion om involveringen af "Nima Nikjoo". Group-IB-eksperter overvejer to versioner. Nima Nikjoo kan faktisk være en hacker fra MuddyWater-gruppen, som kom frem på grund af sin uagtsomhed og øgede aktivitet på netværket. Den anden mulighed er, at han bevidst blev "afsløret" af andre medlemmer af gruppen for at aflede mistanken fra dem selv. Under alle omstændigheder fortsætter Group-IB sin forskning og vil helt sikkert rapportere sine resultater.
Hvad angår iranske APT'er, vil de efter en række lækager og lækager sandsynligvis stå over for en seriøs "debriefing" - hackere vil blive tvunget til seriøst at ændre deres værktøjer, rydde op i deres spor og finde mulige "muldvarpe" i deres rækker. Eksperter udelukkede ikke, at de overhovedet ville tage en timeout, men efter en kort pause fortsatte de iranske APT-angreb igen.
Kilde: www.habr.com