Die pro-regierungsseitigen Hacker aus dem Iran haben große Probleme. Während des gesamten Frühjahrs veröffentlichten Unbekannte auf Telegram „geheime Leaks“ – Informationen über mit der iranischen Regierung verbundene APT-Gruppen – OilRig und MuddyWater — ihre Werkzeuge, Opfer, Verbindungen. Aber nicht über alle. Im April entdeckten Experten von Group-IB eine Leckage von E-Mail-Adressen des türkischen Unternehmens ASELSAN A.Ş., das taktische Militärfunkgeräte und elektronische Verteidigungssysteme für die türkischen Streitkräfte herstellt. Anastasia Tikhonova, die Leiterin der Gruppe für komplexe Bedrohungen bei Group-IB, und Nikita Rostovtsev, ein Analyst bei Group-IB, beschrieben den Verlauf des Angriffs auf ASELSAN A.Ş. und fanden einen möglichen Beteiligten. MuddyWater.
Aufklärung über Telegram
Der „Leak“ der iranischen APT-Gruppen begann mit der Veröffentlichung durch eine Person namens Lab Dookhtegan Der Quellcode von sechs Tools der APT34-Gruppe (auch bekannt als OilRig und HelixKitten) wurde veröffentlicht, einschließlich der IP-Adressen und Domains, die an ihren Operationen beteiligt waren, sowie Daten zu 66 Opfern der Hacker. Zu den betroffenen Unternehmen gehören Etihad Airways und Emirates National Oil. Zudem hat Lab Dookhtegan auch Informationen über frühere Operationen der Gruppe und Daten zu Mitarbeitern des iranischen Ministeriums für Information und nationale Sicherheit veröffentlicht, die angeblich mit den Operationen der Gruppe in Verbindung stehen. OilRig ist eine iranische APT-Gruppe, die seit etwa 2014 existiert und auf Regierungsstellen, Finanzinstitutionen, Militärorganisationen sowie Energie- und Telekommunikationsunternehmen im Nahen Osten und in China abzielt.
Nach der Veröffentlichung von OilRig setzten die "Lecks" fort – Informationen über die Aktivitäten einer anderen staatlichen Gruppe aus dem Iran, MuddyWater, tauchten im Darknet und auf Telegram auf. Im Gegensatz zum ersten Leak wurden diesmal nicht die Quellcodes, sondern Dumps veröffentlicht, die Screenshots der Quellcodes, der Steuerungsserver und IP-Adressen früherer Hackeropfer enthalten. Dieses Mal übernahmen die Hacker von Green Leakers die Verantwortung für das Leak über MuddyWater. Ihnen gehören mehrere Telegram-Kanäle und Websites im Darknet, auf denen sie Daten im Zusammenhang mit den Operationen von MuddyWater bewerben und verkaufen.
Cyber-Spione aus dem Nahen Osten
MuddyWater – dies ist eine Gruppe, die seit 2017 in Ländern des Nahen Ostens aktiv ist. So haben Experten von Group-IB festgestellt, dass die Hacker zwischen Februar und April 2019 eine Reihe von Phishing-Kampagnen durchführten, die auf Regierungs-, Bildungseinrichtungen sowie Finanz-, Telekommunikations- und Verteidigungsunternehmen in der Türkei, dem Iran, Afghanistan, dem Irak und Aserbaidschan abzielten.
Die Mitglieder der Gruppe verwenden eine selbst entwickelte Backdoor auf Basis von PowerShell, die den Namen POWERSTATS. Sie kann:
- Daten über lokale und Domain-Accounts, verfügbare Datei-Server, interne und externe IP-Adressen, sowie den Namen und die Architektur des Betriebssystems sammeln;
- Remote Code Execution durchführen;
- Dateien über C&C hoch- und herunterladen;
- Das Vorhandensein von Debugging-Tools identifizieren, die bei der Analyse von schädlicher Software verwendet werden;
- Das System abschalten, wenn schädliche Software-Analysetools gefunden werden;
- Dateien von lokalen Laufwerken löschen;
- Screenshots erstellen;
- Schutzmechanismen von Microsoft Office-Produkten deaktivieren.
Irgendwann machten die Angreifer einen Fehler, und Forscher von ReaQta konnten die finale IP-Adresse ermitteln, die sich in Teheran befand. Angesichts der Ziele, die von der Gruppe angegriffen wurden, sowie ihrer Aktivitäten im Bereich der Cyberspionage, vermuteten die Experten, dass die Gruppe Interessen der iranischen Regierung vertritt.
Angriff IndikatorenC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Dateien:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkei im Visier
Am 10. April 2019 entdeckten Experten von Group-IB einen Datenleck bei dem türkischen Unternehmen ASELSAN A.Ş, dem größten Anbieter von militärischer Elektronik in der Türkei. Zu seinen Produkten gehören Radarsysteme, elektronische Mittel, Elektrooptik, Avionik, unbemannte Systeme sowie Land-, Marine- und Waffensysteme und Luftverteidigungssysteme.
Bei der Analyse eines neuen Samples der Malware POWERSTATS stellten die Experten von Group-IB fest, dass die Hackergruppe MuddyWater ein Lizenzabkommen zwischen Koç Savunma, einem Hersteller von Informations- und Verteidigungstechnologien, und dem Tubitak Bilgem Forschungszentrum für Informationssicherheit und fortschrittliche Technologien als Lockdokument verwendete. Als Kontaktperson für Koç Savunma wurde Tahir Taner Tımış angegeben, der von September 2013 bis Dezember 2018 als Program Manager bei Koç Bilgi ve Savunma Teknolojileri A.Ş. tätig war und anschließend zu ASELSAN A.Ş. wechselte.
Beispiel für ein Lockdokument
Nachdem der Benutzer die bösartigen Makros aktiviert hat, wird das POWERSTATS-Botnetz auf den Computer des Opfers geladen.
Dank der Metadaten dieses Lockdokuments (MD5: 0638adf8fb4095d60fbef190a759aa9e) konnten Forscher drei weitere Exemplare finden, die identische Werte enthalten, darunter das Erstellungsdatum, den Benutzernamen und die Liste der enthaltenen Makros:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Screenshot der identischen Metadaten verschiedener Lockdokumente
Eines der entdeckten Dokumente mit dem Namen ListOfHackedEmails.doc enthält eine Liste von 34 E-Mail-Adressen, die der Domain @aselsan.com.tr.
Experten von Group-IB haben die E-Mail-Adressen in öffentlich zugänglichen Leaks überprüft und festgestellt, dass 28 davon in zuvor entdeckten Leaks kompromittiert wurden. Die Überprüfung eines Mixes aus verfügbaren Leaks zeigte etwa 400 einzigartige Logins, die mit dieser Domain verknüpft sind, sowie die entsprechenden Passwörter. Möglicherweise haben die Angreifer diese Daten aus öffentlichen Quellen für einen Angriff auf die Firma ASELSAN A.Ş. genutzt.
Screenshot des Dokuments ListOfHackedEmails.doc
Screenshot einer Liste mit mehr als 450 entdeckten Login-Passwort-Paaren in öffentlichen Leaks
Unter den entdeckten Exemplaren befand sich auch ein Dokument mit dem Titel F35-Specifications.doc, der sich auf den F-35 Kämpfer bezieht. Das Lockdokument besteht aus der Spezifikation der multifunktionalen Jagdbomber F-35 mit den Eigenschaften der Flugzeuge und Preisen. Das Thema dieses Lockdokuments steht in direktem Zusammenhang mit der Weigerung der USA, F-35 nach dem Kauf der S-400-Systeme durch die Türkei zu liefern, sowie der Drohung, Russland Informationen über die F-35 Lightning II zu übermitteln.
Alle gesammelten Daten deuteten darauf hin, dass das Hauptziel der Cyberangriffe von MuddyWater Organisationen in der Türkei waren.
Wer sind Gladiyator_CRK und Nima Nikjoo?
Bereits im März 2019 wurden schadhafte Dokumente entdeckt, die von einem Windows-Nutzer unter dem Pseudonym Gladiyator_CRK erstellt wurden. Diese Dokumente verbreiteten ebenfalls das Backdoor POWERSTATS und verbanden sich mit einem C&C-Server mit einem ähnlichen Namen. gladiyator[.]tk.
Möglicherweise geschah dies, nachdem Nima Nikjoo am 14. März 2019 einen Tweet veröffentlicht hatte, in dem er versuchte, den obfuskierten Code im Zusammenhang mit MuddyWater zu dekodieren. In den Kommentaren zu diesem Tweet erklärte der Forscher, dass er keine Indikatoren für die Kompromittierung dieser Malware teilen könne, da diese Information vertraulich sei. Leider wurde der Beitrag bereits gelöscht, aber Spuren davon sind noch im Netz vorhanden:
Nima Nikjoo ist der Inhaber des Profils Gladiyator_CRK auf den iranischen Videoportalen dideo.ir und videoi.ir. Auf dieser Seite präsentiert er PoC-Exploits zum Deaktivieren von Antivirenlösungen verschiedener Anbieter und zum Umgehen von Sandboxes. Über sich selbst schreibt Nima Nikjoo, dass er ein Spezialist im Bereich Netzwerksicherheit sowie Reverse Engineer und Malware-Analyst ist, der bei MTN Irancell – dem iranischen Telekommunikationsunternehmen – arbeitet.
Screenshot der gespeicherten Videos in den Google-Suchergebnissen:
Später, am 19. März 2019, änderte der Nutzer Nima Nikjoo seinen Benutzernamen auf Twitter in Malware Fighter und löschte auch damit verbundene Beiträge und Kommentare. Das Profil Gladiyator_CRK auf der Video-Plattform dideo.ir wurde ebenfalls gelöscht, ebenso wie auf YouTube, während das Profil in N Tabrizi umbenannt wurde. Fast einen Monat später (am 16. April 2019) wurde der Twitter-Account erneut unter dem Namen Nima Nikjoo geführt.
Im Rahmen der Untersuchung entdeckten Experten von Group-IB, dass Nima Nikjoo bereits in Verbindung mit cyberkriminellen Aktivitäten erwähnt wurde. Im August 2014 wurde im Blog Iran Khabarestan Informationen über Personen veröffentlicht, die mit der cyberkriminellen Gruppe Iranian Nasr Institute verbunden waren. In einer Studie von FireEye wurde festgestellt, dass das Nasr Institute als Auftragnehmer von APT33 tätig war und an DDoS-Angriffen auf US-Banken zwischen 2011 und 2013 im Rahmen einer Kampagne namens Operation Ababil beteiligt war.
In demselben Blog wurde Nima Nikju-Nikjoo erwähnt, der mit der Entwicklung von Malware beschäftigt war, um Irani zu überwachen, und seine E-Mail-Adresse lautete: gladiyator_cracker@yahoo[.]com.
Screenshot von Daten, die zu den Cyberkriminellen des Iranian Nasr Institute gehören:
Übersetzung des Hervorgehobenen ins Russische: Nima Nikjoo — Entwickler von Spionagesoftware — E-Mail-Adresse:.
Wie aus diesen Informationen hervorgeht, ist die E-Mail-Adresse mit der Adresse verbunden, die in Angriffen verwendet wird, sowie mit den Nutzern Gladiyator_CRK und Nima Nikjoo.
Darüber hinaus wurde in einem Artikel vom 15. Juni 2017 erwähnt, dass Nikjoo etwas nachlässig war, als er Links zu dem Unternehmen Kavosh Security Center in seinem Lebenslauf veröffentlichte. Es gibt , dass die Organisation Kavosh Security Center vom iranischen Staat unterstützt wird, um pro-regierungsnahe Hacker zu finanzieren.
Informationen über das Unternehmen, in dem Nima Nikjoo gearbeitet hat:
Im LinkedIn-Profil des Twitter-Nutzers Nima Nikjoo ist das Kavosh Security Center als erster Arbeitsplatz angegeben, wo er von 2006 bis 2014 gearbeitet hat. Während seiner Tätigkeit hat er verschiedene Malware untersucht und war mit Reverse Engineering sowie Obfuskation beschäftigt.
Informationen über das Unternehmen, in dem Nima Nikjoo gearbeitet hat, auf LinkedIn:
MuddyWater und übertriebenes Selbstwertgefühl
Interessanterweise überwacht die Gruppe MuddyWater alle veröffentlichten Berichte und Meldungen von Cybersicherheitsexperten sehr genau und ließ sogar absichtlich falsche Fährten, um die Forscher auf die falsche Spur zu lenken. Beispielsweise führten ihre ersten Angriffe die Experten in die Irre, da die Nutzung von DNS Messenger entdeckt wurde, was typischerweise mit der Gruppe FIN7 in Verbindung gebracht wird. In anderen Angriffen fügten sie im Code Zeilen auf Chinesisch ein.
Darüber hinaus hinterlässt die Gruppe gerne Nachrichten für Forscher. Zum Beispiel gefiel ihnen nicht, dass das "Kaspersky-Labor" MuddyWater in seinem Bedrohungsranking für das Jahr auf Platz 3 setzte. Gleichzeitig wurde von jemandem – vermutlich der Gruppe MuddyWater – ein PoC-Exploit auf YouTube hochgeladen, der den Antivirus „LK“ deaktiviert. Sie hinterließen auch einen Kommentar unter dem Artikel.
Screenshots des Videos, das den Antivirus des „Kaspersky-Labors“ deaktiviert, sowie den Kommentar darunter:
Es ist derzeit schwierig, eine eindeutige Aussage über die Beteiligung von „Nima Nikjoo“ zu treffen. Die Experten von Group-IB prüfen zwei Hypothesen. Einerseits könnte Nima Nikjoo tatsächlich ein Hacker aus der Gruppe MuddyWater sein, der aufgrund seiner Unachtsamkeit und erhöhten Aktivität im Netz aufgefallen ist. Eine andere Möglichkeit ist, dass andere Gruppenmitglieder ihn absichtlich „enttarnt“ haben, um von sich selbst abzulenken. In jedem Fall setzt Group-IB seine Untersuchungen fort und wird die Ergebnisse veröffentlichen.
Was die iranischen APT betrifft, so steht ihnen nach einer Reihe von Leaks und Enthüllungen wahrscheinlich eine ernsthafte „Nachbesprechung“ bevor – die Hacker werden gezwungen sein, ihre Werkzeuge erheblich zu ändern, Spuren zu verwischen und mögliche „Maulwürfe“ in ihren Reihen zu finden. Experten haben nicht ausgeschlossen, dass sie sogar eine Auszeit nehmen könnten, aber nach einer kurzen Pause wurden die Angriffe der iranischen APT erneut fortgesetzt.
Quelle: habr.com
