Iranische regierungsnahe Hacker stecken in großen Schwierigkeiten. Im Laufe des Frühlings veröffentlichten Unbekannte „geheime Leaks“ auf Telegram – Informationen über APT-Gruppen, die mit der iranischen Regierung in Verbindung stehen – OilRig и Schlammiges Wasser – ihre Werkzeuge, Opfer, Verbindungen. Aber nicht bei jedem. Im April entdeckten Spezialisten der Gruppe IB ein Leck von Postanschriften des türkischen Unternehmens ASELSAN A.Ş, das taktische Militärradios und elektronische Verteidigungssysteme für die türkischen Streitkräfte herstellt. Anastasia Tichonowa, Group-IB Advanced Threat Research Teamleiter, und Nikita Rostovtsev, Junior-Analyst bei Group-IB, beschrieb den Verlauf des Angriffs auf ASELSAN A.Ş und fand einen möglichen Teilnehmer Schlammiges Wasser.
Beleuchtung per Telegram
Das Durchsickern iranischer APT-Gruppen begann mit der Tatsache, dass ein gewisser Lab Doukhtegan Die Quellcodes von sechs APT34-Tools (auch bekannt als OilRig und HelixKitten) enthüllten die an den Operationen beteiligten IP-Adressen und Domänen sowie Daten zu 66 Opfern von Hackern, darunter Etihad Airways und Emirates National Oil. Lab Doookhtegan ließ auch Daten über die früheren Operationen der Gruppe und Informationen über Mitarbeiter des iranischen Ministeriums für Information und nationale Sicherheit durchsickern, die angeblich mit den Operationen der Gruppe in Verbindung stehen. OilRig ist eine mit dem Iran verbundene APT-Gruppe, die seit etwa 2014 existiert und auf Regierungs-, Finanz- und Militärorganisationen sowie Energie- und Telekommunikationsunternehmen im Nahen Osten und in China abzielt.
Nachdem OilRig aufgedeckt wurde, gingen die Leaks weiter – Informationen über die Aktivitäten einer anderen staatsfreundlichen Gruppe aus dem Iran, MuddyWater, erschienen im Darknet und auf Telegram. Anders als beim ersten Leak wurden dieses Mal jedoch nicht die Quellcodes veröffentlicht, sondern Dumps, darunter Screenshots der Quellcodes, Kontrollserver sowie die IP-Adressen früherer Hackeropfer. Diesmal übernahmen Hacker von Green Leakers die Verantwortung für den Leak über MuddyWater. Sie besitzen mehrere Telegram-Kanäle und Darknet-Seiten, auf denen sie Daten im Zusammenhang mit MuddyWater-Operationen bewerben und verkaufen.
Cyberspione aus dem Nahen Osten
Schlammiges Wasser ist eine Gruppe, die seit 2017 im Nahen Osten aktiv ist. Wie Experten der Group-IB beispielsweise feststellen, führten Hacker von Februar bis April 2019 eine Reihe von Phishing-Mailings durch, die sich an Regierungen, Bildungsorganisationen, Finanz-, Telekommunikations- und Verteidigungsunternehmen in der Türkei, im Iran, in Afghanistan, im Irak und in Aserbaidschan richteten.
Die Gruppenmitglieder nutzen eine Backdoor ihrer eigenen Entwicklung auf Basis von PowerShell, die sogenannte POWERSTATS. Er kann:
- Sammeln Sie Daten über lokale und Domänenkonten, verfügbare Dateiserver, interne und externe IP-Adressen, Namen und Betriebssystemarchitektur;
- Remote-Codeausführung durchführen;
- Hochladen und Herunterladen von Dateien über C&C;
- Erkennen Sie das Vorhandensein von Debugging-Programmen, die bei der Analyse schädlicher Dateien verwendet werden.
- Fahren Sie das System herunter, wenn Programme zur Analyse schädlicher Dateien gefunden werden.
- Dateien von lokalen Laufwerken löschen;
- Screenshots machen;
- Sicherheitsmaßnahmen in Microsoft Office-Produkten deaktivieren.
Irgendwann machten die Angreifer einen Fehler und den Forschern von ReaQta gelang es, an die endgültige IP-Adresse zu gelangen, die sich in Teheran befand. Angesichts der von der Gruppe angegriffenen Ziele sowie ihrer Ziele im Zusammenhang mit Cyberspionage gehen Experten davon aus, dass die Gruppe die Interessen der iranischen Regierung vertritt.
AngriffsindikatorenC&C:
- Gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Dateien:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye wird angegriffen
Am 10. April 2019 entdeckten Spezialisten der Group-IB ein Leck von Postanschriften des türkischen Unternehmens ASELSAN A.Ş, dem größten Unternehmen im Bereich Militärelektronik in der Türkei. Zu seinen Produkten gehören Radar und Elektronik, Elektrooptik, Avionik, unbemannte Systeme, Land-, Marine-, Waffen- und Luftverteidigungssysteme.
Bei der Untersuchung einer der neuen Proben der POWERSTATS-Malware stellten Experten der Group-IB fest, dass die MuddyWater-Angreifergruppe als Köder ein Dokument einer Lizenzvereinbarung zwischen Koç Savunma, einem Unternehmen, das Lösungen im Bereich der Informations- und Verteidigungstechnologien herstellt, und Tubitak Bilgem nutzte , ein Forschungszentrum für Informationssicherheit und fortschrittliche Technologien. Ansprechpartner für Koç Savunma war Tahir Taner Tımış, der die Position des Programmmanagers bei Koç Bilgi ve Savunma Teknolojileri A.Ş innehatte. von September 2013 bis Dezember 2018. Später begann er bei ASELSAN A.Ş zu arbeiten.
Beispiel eines Täuschungsdokuments
Nachdem der Benutzer bösartige Makros aktiviert hat, wird die POWERSTATS-Hintertür auf den Computer des Opfers heruntergeladen.
Dank der Metadaten dieses Lockdokuments (MD5: 0638adf8fb4095d60fbef190a759aa9e) Forscher konnten drei weitere Beispiele mit identischen Werten finden, darunter Erstellungsdatum und -uhrzeit, Benutzername und eine Liste der enthaltenen Makros:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Spezifikationen.doc (5c6148619abb10bb3789dcfb32f759a6)
Screenshot identischer Metadaten verschiedener Täuschungsdokumente
Eines der entdeckten Dokumente mit dem Namen ListOfHackedEmails.doc enthält eine Liste von 34 E-Mail-Adressen, die zur Domain gehören @aselsan.com.tr.
Spezialisten der Group-IB überprüften E-Mail-Adressen in öffentlich zugänglichen Leaks und stellten fest, dass 28 von ihnen in zuvor entdeckten Leaks kompromittiert waren. Die Überprüfung der verfügbaren Leaks ergab etwa 400 eindeutige Logins, die mit dieser Domain und den dazugehörigen Passwörtern verknüpft waren. Es ist möglich, dass Angreifer diese öffentlich zugänglichen Daten genutzt haben, um ASELSAN A.Ş. anzugreifen.
Screenshot des Dokuments ListOfHackedEmails.doc
Screenshot einer Liste von mehr als 450 erkannten Login-Passwort-Paaren in öffentlichen Leaks
Unter den entdeckten Proben befand sich auch ein Dokument mit dem Titel F35-Spezifikationen.doc, bezogen auf den F-35-Kampfjet. Das Köderdokument ist eine Spezifikation für den Mehrzweck-Jagdbomber F-35, in der die Eigenschaften und der Preis des Flugzeugs angegeben sind. Das Thema dieses Lockvogeldokuments steht in direktem Zusammenhang mit der Weigerung der USA, F-35 zu liefern, nachdem die Türkei die S-400-Systeme gekauft hatte, und mit der Drohung, Informationen über die F-35 Lightning II an Russland weiterzugeben.
Alle erhaltenen Daten deuteten darauf hin, dass die Hauptziele der MuddyWater-Cyberangriffe Organisationen mit Sitz in der Türkei waren.
Wer sind Gladiyator_CRK und Nima Nikjoo?
Zuvor, im März 2019, wurden schädliche Dokumente entdeckt, die von einem Windows-Benutzer unter dem Spitznamen Gladiyator_CRK erstellt wurden. Diese Dokumente verbreiteten auch die POWERSTATS-Hintertür und stellten eine Verbindung zu einem C&C-Server mit einem ähnlichen Namen her Gladiator[.]tk.
Dies könnte geschehen sein, nachdem der Benutzer Nima Nikjoo am 14. März 2019 auf Twitter gepostet hatte, dass er versuchte, verschleierten Code im Zusammenhang mit MuddyWater zu entschlüsseln. In den Kommentaren zu diesem Tweet sagte der Forscher, dass er keine Hinweise auf eine Kompromittierung dieser Malware geben könne, da diese Informationen vertraulich seien. Leider wurde der Beitrag bereits gelöscht, Spuren davon sind jedoch weiterhin online:
Nima Nikjoo ist Inhaberin des Gladiyator_CRK-Profils auf den iranischen Video-Hosting-Sites dideo.ir und videoi.ir. Auf dieser Website demonstriert er PoC-Exploits, um Antiviren-Tools verschiedener Anbieter zu deaktivieren und Sandboxes zu umgehen. Nima Nikjoo schreibt über sich selbst, dass er ein Netzwerksicherheitsspezialist sowie ein Reverse Engineer und Malware-Analyst ist, der für MTN Irancell, ein iranisches Telekommunikationsunternehmen, arbeitet.
Screenshot gespeicherter Videos in den Google-Suchergebnissen:
Später, am 19. März 2019, änderte der Benutzer Nima Nikjoo im sozialen Netzwerk Twitter seinen Spitznamen in Malware Fighter und löschte auch entsprechende Beiträge und Kommentare. Das Profil von Gladiyator_CRK auf dem Videohosting dideo.ir wurde ebenso wie auf YouTube gelöscht und das Profil selbst in N Tabrizi umbenannt. Doch fast einen Monat später (16. April 2019) begann der Twitter-Account wieder, den Namen Nima Nikjoo zu verwenden.
Im Rahmen der Untersuchung stellten die Spezialisten der Group-IB fest, dass Nima Nikjoo bereits im Zusammenhang mit cyberkriminellen Aktivitäten erwähnt wurde. Im August 2014 veröffentlichte der Blog Iran Khabarestan Informationen über Personen, die mit der Cyberkriminellengruppe Iranian Nasr Institute in Verbindung stehen. Eine FireEye-Untersuchung ergab, dass das Nasr Institute ein Auftragnehmer für APT33 war und zwischen 2011 und 2013 im Rahmen einer Kampagne namens Operation Ababil auch an DDoS-Angriffen auf US-Banken beteiligt war.
So wurde im selben Blog Nima Nikju-Nikjoo erwähnt, der Malware entwickelte, um Iraner auszuspionieren, und seine E-Mail-Adresse:gladiyator_cracker@yahoo[.]com.
Screenshot von Daten, die Cyberkriminellen vom iranischen Nasr-Institut zugeschrieben werden:
Übersetzung des hervorgehobenen Textes ins Russische: Nima Nikio – Spyware-Entwickler – E-Mail:.
Wie aus diesen Informationen hervorgeht, ist die E-Mail-Adresse mit der bei den Angriffen verwendeten Adresse und den Benutzern Gladiyator_CRK und Nima Nikjoo verknüpft.
Darüber hinaus heißt es in dem Artikel vom 15. Juni 2017, dass Nikjoo etwas nachlässig war, als er in seinem Lebenslauf Hinweise auf das Kavosh Security Center veröffentlichte. Essen dass das Kavosh Security Center vom iranischen Staat unterstützt wird, um regierungsnahe Hacker zu finanzieren.
Informationen über das Unternehmen, bei dem Nima Nikjoo gearbeitet hat:
Das LinkedIn-Profil des Twitter-Nutzers Nima Nikjoo listet seinen ersten Arbeitsplatz als Kavosh Security Center auf, wo er von 2006 bis 2014 arbeitete. Während seiner Arbeit untersuchte er verschiedene Malware und beschäftigte sich auch mit Reverse- und Verschleierungsarbeiten.
Informationen über das Unternehmen, für das Nima Nikjoo auf LinkedIn gearbeitet hat:
Schlammiges Wasser und hohes Selbstwertgefühl
Es ist merkwürdig, dass die MuddyWater-Gruppe alle über sie veröffentlichten Berichte und Nachrichten von Informationssicherheitsexperten sorgfältig überwacht und zunächst sogar absichtlich falsche Flaggen hinterlassen hat, um Forscher aus der Spur zu bringen. Ihre ersten Angriffe führten beispielsweise Experten in die Irre, indem sie die Verwendung von DNS Messenger entdeckten, der häufig mit der FIN7-Gruppe in Verbindung gebracht wurde. Bei anderen Angriffen fügten sie chinesische Zeichenfolgen in den Code ein.
Darüber hinaus hinterlässt die Gruppe gerne Nachrichten für Forscher. Es gefiel ihnen beispielsweise nicht, dass Kaspersky Lab MuddyWater in seiner Bedrohungsbewertung für das Jahr auf Platz 3 platzierte. Im selben Moment hat jemand – vermutlich die MuddyWater-Gruppe – einen PoC eines Exploits auf YouTube hochgeladen, der den LK-Antivirus deaktiviert. Sie haben auch einen Kommentar unter dem Artikel hinterlassen.
Screenshots des Videos zur Deaktivierung des Kaspersky-Lab-Antivirus und des folgenden Kommentars:
Es ist immer noch schwierig, eine eindeutige Aussage über die Beteiligung von „Nima Nikjoo“ zu treffen. Experten der Group-IB erwägen zwei Versionen. Nima Nikjoo könnte tatsächlich ein Hacker der MuddyWater-Gruppe sein, der aufgrund seiner Nachlässigkeit und erhöhten Aktivität im Netzwerk ans Licht kam. Die zweite Möglichkeit besteht darin, dass er von anderen Mitgliedern der Gruppe absichtlich „entlarvt“ wurde, um den Verdacht von sich selbst abzulenken. Auf jeden Fall setzt Group-IB seine Forschung fort und wird auf jeden Fall über seine Ergebnisse berichten.
Was die iranischen APTs betrifft, so werden sie nach einer Reihe von Leaks und Leaks wahrscheinlich einer ernsthaften „Nachbesprechung“ gegenüberstehen – Hacker werden gezwungen sein, ihre Werkzeuge ernsthaft zu ändern, ihre Spuren zu bereinigen und mögliche „Maulwürfe“ in ihren Reihen zu finden. Experten schlossen nicht aus, dass sie sogar eine Auszeit nehmen würden, doch nach einer kurzen Pause gingen die iranischen APT-Angriffe wieder weiter.
Source: habr.com