Λασπωμένα νερά: πώς χάκερ της MuddyWater επιτέθηκαν σε Τούρκο κατασκευαστή στρατιωτικών ηλεκτρονικών

Οι Ιρανοί φιλοκυβερνητικοί χάκερ βρίσκονται σε μεγάλο πρόβλημα. Καθ' όλη τη διάρκεια της άνοιξης, άγνωστοι δημοσίευσαν «μυστικές διαρροές» στο Telegram - πληροφορίες για ομάδες APT που σχετίζονται με την ιρανική κυβέρνηση - Εξέδρα άντλησης πετρελαίου и Λασπόνερα — τα εργαλεία, τα θύματα, οι διασυνδέσεις τους. Όχι όμως για όλους. Τον Απρίλιο, ειδικοί του Group-IB ανακάλυψαν μια διαρροή ταχυδρομικών διευθύνσεων της τουρκικής εταιρείας ASELSAN A.Ş, η οποία παράγει τακτικά στρατιωτικά ραδιόφωνα και ηλεκτρονικά αμυντικά συστήματα για τις τουρκικές ένοπλες δυνάμεις. Αναστασία Τιχόνοβα, Group-IB Advanced Threat Research Team Leader, και Νικήτα Ροστόβτσεφ, κατώτερος αναλυτής στο Group-IB, περιέγραψε την πορεία της επίθεσης στην ASELSAN A.Ş και βρήκε έναν πιθανό συμμετέχοντα Λασπόνερα.

Φωτισμός μέσω Telegram

Η διαρροή των ιρανικών ομάδων APT ξεκίνησε με το γεγονός ότι κάποιος Lab Doukhtegan δημοσιοποιήθηκε οι πηγαίοι κώδικες έξι εργαλείων APT34 (γνωστοί και ως OilRig και HelixKitten), αποκάλυψαν τις διευθύνσεις IP και τους τομείς που εμπλέκονται στις επιχειρήσεις, καθώς και δεδομένα για 66 θύματα χάκερ, συμπεριλαμβανομένων των Etihad Airways και Emirates National Oil. Το Lab Doookhtegan διέρρευσε επίσης δεδομένα σχετικά με τις προηγούμενες επιχειρήσεις του ομίλου και πληροφορίες σχετικά με υπαλλήλους του ιρανικού Υπουργείου Πληροφοριών και Εθνικής Ασφάλειας που φέρεται να συνδέονται με τις επιχειρήσεις του ομίλου. Η OilRig είναι ένας όμιλος APT που συνδέεται με το Ιράν που υπάρχει από το 2014 περίπου και στοχεύει κυβερνητικούς, οικονομικούς και στρατιωτικούς οργανισμούς, καθώς και εταιρείες ενέργειας και τηλεπικοινωνιών στη Μέση Ανατολή και την Κίνα.

Μετά την αποκάλυψη της OilRig, οι διαρροές συνεχίστηκαν - πληροφορίες σχετικά με τις δραστηριότητες μιας άλλης φιλοκρατικής ομάδας από το Ιράν, της MuddyWater, εμφανίστηκαν στο darknet και στο Telegram. Ωστόσο, σε αντίθεση με την πρώτη διαρροή, αυτή τη φορά δεν δημοσιεύτηκαν οι πηγαίοι κώδικες, αλλά οι χωματερές, συμπεριλαμβανομένων στιγμιότυπων οθόνης των πηγαίων κωδίκων, των διακομιστών ελέγχου, καθώς και των διευθύνσεων IP παλαιότερων θυμάτων χάκερ. Αυτή τη φορά, οι χάκερ της Green Leakers ανέλαβαν την ευθύνη για τη διαρροή σχετικά με το MuddyWater. Είναι κάτοχοι πολλών καναλιών Telegram και ιστοσελίδων darknet όπου διαφημίζουν και πωλούν δεδομένα που σχετίζονται με τις λειτουργίες του MuddyWater.

Κυβερνοκατάσκοποι από τη Μέση Ανατολή

Λασπόνερα είναι μια ομάδα που δραστηριοποιείται από το 2017 στη Μέση Ανατολή. Για παράδειγμα, όπως σημειώνουν εμπειρογνώμονες του Group-IB, από τον Φεβρουάριο έως τον Απρίλιο του 2019, χάκερ πραγματοποίησαν μια σειρά αποστολών ηλεκτρονικού ψαρέματος που στόχευαν σε κυβερνητικούς, εκπαιδευτικούς οργανισμούς, χρηματοοικονομικές, τηλεπικοινωνιακές και αμυντικές εταιρείες στην Τουρκία, το Ιράν, το Αφγανιστάν, το Ιράκ και το Αζερμπαϊτζάν.

Τα μέλη της ομάδας χρησιμοποιούν μια κερκόπορτα της δικής τους ανάπτυξης που βασίζεται στο PowerShell, η οποία ονομάζεται POWERSSTATS. Αυτός μπορεί:

• συλλογή δεδομένων σχετικά με τοπικούς λογαριασμούς και λογαριασμούς τομέα, διαθέσιμους διακομιστές αρχείων, εσωτερικές και εξωτερικές διευθύνσεις IP, όνομα και αρχιτεκτονική λειτουργικού συστήματος.
• εκτελεί απομακρυσμένη εκτέλεση κώδικα.
• μεταφόρτωση και λήψη αρχείων μέσω C&C.
• ανίχνευση της παρουσίας προγραμμάτων εντοπισμού σφαλμάτων που χρησιμοποιούνται στην ανάλυση κακόβουλων αρχείων.
• τερματίστε τη λειτουργία του συστήματος εάν εντοπιστούν προγράμματα για την ανάλυση κακόβουλων αρχείων.
• διαγραφή αρχείων από τοπικούς δίσκους.
• λήψη στιγμιότυπων οθόνης.
• απενεργοποιήστε τα μέτρα ασφαλείας σε προϊόντα του Microsoft Office.

Κάποια στιγμή, οι επιτιθέμενοι έκαναν λάθος και ερευνητές από την ReaQta κατάφεραν να αποκτήσουν την τελική διεύθυνση IP, η οποία βρισκόταν στην Τεχεράνη. Δεδομένων των στόχων που δέχτηκε επίθεση από την ομάδα, καθώς και των στόχων της που σχετίζονται με την κυβερνοκατασκοπεία, οι ειδικοί έχουν προτείνει ότι η ομάδα εκπροσωπεί τα συμφέροντα της ιρανικής κυβέρνησης.

Δείκτες επίθεσηςC&C:

• μονομάχος[.]τκ
• 94.23.148[.]194
• 192.95.21[.]28
• 46.105.84[.]146
• 185.162.235[.]182

Αρχεία:

• 09aabd2613d339d90ddbd4b7c09195a9
• cfa845995b851aacdf40b8e6a5b87ba7
• a61b268e9bc9b7e6c9125cdbfb1c422a
• f12bab5541a7d8ef4bbca81f6fc835a3
• a066f5b93f4ac85e9adfe5ff3b10bc28
• 8a004e93d7ee3b26d94156768bc0839d
• 0638adf8fb4095d60fbef190a759aa9e
• eed599981c097944fa143e7d7f7e17b1
• 21aebece73549b3c4355a6060df410e9
• 5c6148619abb10bb3789dcfb32f759a6

Η Τουρκία δέχεται επίθεση

Στις 10 Απριλίου 2019, ειδικοί του Group-IB ανακάλυψαν διαρροή ταχυδρομικών διευθύνσεων της τουρκικής εταιρείας ASELSAN A.Ş, της μεγαλύτερης εταιρείας στον τομέα των στρατιωτικών ηλεκτρονικών στην Τουρκία. Τα προϊόντα της περιλαμβάνουν ραντάρ και ηλεκτρονικά, ηλεκτρο-οπτικά, αεροηλεκτρονικά, μη επανδρωμένα συστήματα, χερσαία, ναυτικά, όπλα και συστήματα αεράμυνας.

Μελετώντας ένα από τα νέα δείγματα του κακόβουλου λογισμικού POWERSTATS, οι ειδικοί του Group-IB διαπίστωσαν ότι η ομάδα επιτιθέμενων MuddyWater χρησιμοποίησε ως δόλωμα μια συμφωνία άδειας μεταξύ της Koç Savunma, μιας εταιρείας που παράγει λύσεις στον τομέα των τεχνολογιών πληροφοριών και άμυνας, και της Tubitak Bilgem. , ένα ερευνητικό κέντρο ασφάλειας πληροφοριών και προηγμένες τεχνολογίες. Ο υπεύθυνος επικοινωνίας για το Koç Savunma ήταν ο Tahir Taner Tımış, ο οποίος κατείχε τη θέση του Υπεύθυνου Προγραμμάτων στην Koç Bilgi ve Savunma Teknolojileri A.Ş. από τον Σεπτέμβριο του 2013 έως τον Δεκέμβριο του 2018. Αργότερα άρχισε να εργάζεται στην ASELSAN A.Ş.

Δείγμα εγγράφου δόλωμα
Αφού ο χρήστης ενεργοποιήσει κακόβουλες μακροεντολές, η κερκόπορτα POWERSTATS μεταφορτώνεται στον υπολογιστή του θύματος.

Χάρη στα μεταδεδομένα αυτού του εγγράφου δόλωμα (MD5: 0638adf8fb4095d60fbef190a759aa9e) οι ερευνητές μπόρεσαν να βρουν τρία επιπλέον δείγματα που περιέχουν ίδιες τιμές, συμπεριλαμβανομένης της ημερομηνίας και της ώρας δημιουργίας, του ονόματος χρήστη και μιας λίστας μακροεντολών που περιείχε:

• ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
• asd.doc (21aebece73549b3c4355a6060df410e9)
• F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)

Στιγμιότυπο οθόνης πανομοιότυπων μεταδεδομένων διαφόρων εγγράφων δόλωμα

Ένα από τα έγγραφα που ανακαλύφθηκαν με το όνομα ListOfHackedEmails.doc περιέχει μια λίστα με 34 διευθύνσεις email που ανήκουν στον τομέα @aselsan.com.tr.

Οι ειδικοί του Group-IB έλεγξαν διευθύνσεις email σε διαρροές που ήταν διαθέσιμες στο κοινό και διαπίστωσαν ότι 28 από αυτές είχαν παραβιαστεί σε διαρροές που είχαν ανακαλυφθεί στο παρελθόν. Ο έλεγχος του συνδυασμού των διαθέσιμων διαρροών έδειξε περίπου 400 μοναδικές συνδέσεις που σχετίζονται με αυτόν τον τομέα και κωδικούς πρόσβασης για αυτές. Είναι πιθανό οι επιτιθέμενοι να χρησιμοποίησαν αυτά τα δημόσια διαθέσιμα δεδομένα για να επιτεθούν στην ASELSAN A.Ş.

Στιγμιότυπο οθόνης του εγγράφου ListOfHackedEmails.doc

Στιγμιότυπο οθόνης μιας λίστας με περισσότερα από 450 ανιχνευμένα ζεύγη σύνδεσης-κωδικού πρόσβασης σε δημόσιες διαρροές
Ανάμεσα στα δείγματα που ανακαλύφθηκαν υπήρχε και έγγραφο με τον τίτλο F35-Specifications.doc, αναφερόμενος στο μαχητικό αεροσκάφος F-35. Το έγγραφο δόλωμα είναι μια προδιαγραφή για το μαχητικό-βομβαρδιστικό πολλαπλών ρόλων F-35, που υποδεικνύει τα χαρακτηριστικά και την τιμή του αεροσκάφους. Το θέμα αυτού του παραπλανητικού εγγράφου σχετίζεται άμεσα με την άρνηση των ΗΠΑ να προμηθεύσουν F-35 μετά την αγορά των συστημάτων S-400 από την Τουρκία και την απειλή μεταφοράς πληροφοριών για το F-35 Lightning II στη Ρωσία.

Όλα τα δεδομένα που ελήφθησαν έδειξαν ότι οι κύριοι στόχοι των επιθέσεων στον κυβερνοχώρο MuddyWater ήταν οργανώσεις που βρίσκονταν στην Τουρκία.

Ποιοι είναι οι Gladiyator_CRK και Nima Nikjoo;

Νωρίτερα, τον Μάρτιο του 2019, ανακαλύφθηκαν κακόβουλα έγγραφα που δημιουργήθηκαν από έναν χρήστη των Windows με το ψευδώνυμο Gladiyator_CRK. Αυτά τα έγγραφα διένειμαν επίσης την κερκόπορτα POWERSTATS και συνδέθηκαν σε διακομιστή C&C με παρόμοιο όνομα μονομάχος[.]τκ.

Αυτό μπορεί να έγινε μετά τη δημοσίευση του χρήστη Nima Nikjoo στο Twitter στις 14 Μαρτίου 2019, προσπαθώντας να αποκωδικοποιήσει τον συγκεχυμένο κώδικα που σχετίζεται με το MuddyWater. Στα σχόλια σε αυτό το tweet, ο ερευνητής είπε ότι δεν μπορούσε να μοιραστεί δείκτες συμβιβασμού για αυτό το κακόβουλο λογισμικό, καθώς αυτές οι πληροφορίες είναι εμπιστευτικές. Δυστυχώς, η ανάρτηση έχει ήδη διαγραφεί, αλλά τα ίχνη της παραμένουν στο διαδίκτυο:

Ο Nima Nikjoo είναι ο ιδιοκτήτης του προφίλ Gladiyator_CRK στους ιρανικούς ιστότοπους φιλοξενίας βίντεο dideo.ir και videoi.ir. Σε αυτόν τον ιστότοπο, επιδεικνύει εκμεταλλεύσεις PoC για να απενεργοποιήσει τα εργαλεία προστασίας από ιούς από διάφορους προμηθευτές και να παρακάμψει τα sandboxes. Ο Nima Nikjoo γράφει για τον εαυτό του ότι είναι ειδικός σε θέματα ασφάλειας δικτύων, καθώς και αντίστροφος μηχανικός και αναλυτής κακόβουλου λογισμικού που εργάζεται για την MTN Irancell, μια ιρανική εταιρεία τηλεπικοινωνιών.

Στιγμιότυπο οθόνης αποθηκευμένων βίντεο στα αποτελέσματα αναζήτησης Google:

Αργότερα, στις 19 Μαρτίου 2019, ο χρήστης Nima Nikjoo στο κοινωνικό δίκτυο Twitter άλλαξε το ψευδώνυμό του σε Malware Fighter και διέγραψε επίσης σχετικές αναρτήσεις και σχόλια. Το προφίλ του Gladiyator_CRK στη φιλοξενία βίντεο dideo.ir επίσης διαγράφηκε, όπως συνέβη στο YouTube, και το ίδιο το προφίλ μετονομάστηκε σε N Tabrizi. Ωστόσο, σχεδόν ένα μήνα αργότερα (16 Απριλίου 2019), ο λογαριασμός Twitter άρχισε να χρησιμοποιεί ξανά το όνομα Nima Nikjoo.

Κατά τη διάρκεια της μελέτης, οι ειδικοί του Group-IB ανακάλυψαν ότι ο Nima Nikjoo είχε ήδη αναφερθεί σε σχέση με εγκληματικές δραστηριότητες στον κυβερνοχώρο. Τον Αύγουστο του 2014, το ιστολόγιο Iran Khabarestan δημοσίευσε πληροφορίες σχετικά με άτομα που σχετίζονται με την κυβερνοεγκληματική ομάδα Iranian Nasr Institute. Μια έρευνα FireEye ανέφερε ότι το Ινστιτούτο Nasr ήταν ανάδοχος του APT33 και συμμετείχε επίσης σε επιθέσεις DDoS σε τράπεζες των ΗΠΑ μεταξύ 2011 και 2013 ως μέρος μιας εκστρατείας που ονομάζεται Operation Ababil.

Στο ίδιο ιστολόγιο λοιπόν αναφέρθηκε ο Nima Nikju-Nikjoo, ο οποίος ανέπτυζε κακόβουλο λογισμικό για να κατασκοπεύει Ιρανούς, και η διεύθυνση ηλεκτρονικού ταχυδρομείου του: gladiyator_cracker@yahoo[.]com.

Στιγμιότυπο οθόνης δεδομένων που αποδίδονται σε εγκληματίες στον κυβερνοχώρο από το Ινστιτούτο Nasr του Ιράν:

Μετάφραση του επισημασμένου κειμένου στα ρωσικά: Nima Nikio - Προγραμματιστής Spyware - Email:.

Όπως φαίνεται από αυτές τις πληροφορίες, η διεύθυνση email σχετίζεται με τη διεύθυνση που χρησιμοποιήθηκε στις επιθέσεις και τους χρήστες Gladiyator_CRK και Nima Nikjoo.

Επιπλέον, το άρθρο της 15ης Ιουνίου 2017 ανέφερε ότι ο Nikjoo ήταν κάπως απρόσεκτος στην δημοσίευση παραπομπών στο Kavosh Security Center στο βιογραφικό του. Τρώω άποψηότι το Κέντρο Ασφαλείας Kavosh υποστηρίζεται από το ιρανικό κράτος για τη χρηματοδότηση φιλοκυβερνητικών χάκερ.

Πληροφορίες για την εταιρεία όπου εργαζόταν ο Nima Nikjoo:

Το προφίλ του χρήστη του Twitter Nima Nikjoo στο LinkedIn αναφέρει την πρώτη θέση εργασίας του ως Kavosh Security Center, όπου εργάστηκε από το 2006 έως το 2014. Κατά τη διάρκεια της εργασίας του, μελέτησε διάφορα κακόβουλα προγράμματα και ασχολήθηκε επίσης με εργασίες που σχετίζονται με την αντίστροφη και τη συσκότιση.

Πληροφορίες για την εταιρεία στην οποία εργαζόταν η Nima Nikjoo στο LinkedIn:

MuddyWater και υψηλή αυτοεκτίμηση

Είναι περίεργο το γεγονός ότι η ομάδα MuddyWater παρακολουθεί προσεκτικά όλες τις αναφορές και τα μηνύματα από ειδικούς σε θέματα ασφάλειας πληροφοριών που δημοσιεύονται γι 'αυτούς, και μάλιστα σκόπιμα άφησε ψεύτικες σημαίες στην αρχή για να διώξει τους ερευνητές από τη μυρωδιά. Για παράδειγμα, οι πρώτες τους επιθέσεις παραπλάνησαν τους ειδικούς εντοπίζοντας τη χρήση του DNS Messenger, που συνήθως συσχετίστηκε με την ομάδα FIN7. Σε άλλες επιθέσεις, εισήγαγαν κινεζικές συμβολοσειρές στον κώδικα.

Επιπλέον, η ομάδα λατρεύει να αφήνει μηνύματα στους ερευνητές. Για παράδειγμα, δεν τους άρεσε που η Kaspersky Lab έβαλε το MuddyWater στην 3η θέση στην κατάταξη απειλών για το έτος. Την ίδια στιγμή, κάποιος - πιθανώς η ομάδα MuddyWater - ανέβασε ένα PoC ενός exploit στο YouTube που απενεργοποιεί το LK antivirus. Άφησαν και ένα σχόλιο κάτω από το άρθρο.

Στιγμιότυπα οθόνης του βίντεο σχετικά με την απενεργοποίηση του Kaspersky Lab antivirus και το σχόλιο παρακάτω:

Είναι ακόμα δύσκολο να βγάλουμε ένα ξεκάθαρο συμπέρασμα για την εμπλοκή του «Nima Nikjoo». Οι ειδικοί του Group-IB εξετάζουν δύο εκδοχές. Ο Nima Nikjoo, όντως, μπορεί να είναι ένας χάκερ από την ομάδα MuddyWater, ο οποίος ήρθε στο φως λόγω αμέλειας και αυξημένης δραστηριότητας στο δίκτυο. Η δεύτερη επιλογή είναι ότι «εκτέθηκε» σκόπιμα από άλλα μέλη της ομάδας για να εκτρέψουν τις υποψίες από τους εαυτούς τους. Σε κάθε περίπτωση, το Group-IB συνεχίζει την έρευνά του και σίγουρα θα αναφέρει τα αποτελέσματά του.

Όσον αφορά τα ιρανικά APT, μετά από μια σειρά διαρροών και διαρροών, πιθανότατα θα αντιμετωπίσουν ένα σοβαρό «debriefing» - οι χάκερ θα αναγκαστούν να αλλάξουν σοβαρά τα εργαλεία τους, να καθαρίσουν τα ίχνη τους και να βρουν πιθανούς «τυφλοπόντικες» στις τάξεις τους. Οι ειδικοί δεν απέκλεισαν ότι θα έπαιρναν ακόμη και τάιμ άουτ, αλλά μετά από ένα σύντομο διάλειμμα, οι επιθέσεις του ιρανικού APT συνεχίστηκαν ξανά.

Πηγή: www.habr.com