Iranaj porŝtataj piratoj havas grandajn problemojn. Dum la printempo nekonataj personoj publikigis "sekretajn likojn" en Telegramo - informoj pri APT-grupoj asociitaj kun la irana registaro - OilRig и Ŝlimakvo — iliaj iloj, viktimoj, ligoj. Sed ne pri ĉiuj. En aprilo, specialistoj de Group-IB malkovris likon de retadresoj de la turka korporacio ASELSAN A.Ş, kiu produktas taktikajn armeajn radiostaciojn kaj elektronikajn defendajn sistemojn por la turkaj armitaj fortoj. Anastazio Tiĥonova, Group-IB Advanced Threat Research Team Leader, kaj Nikita Rostovcev, Group-IB Junior Analyst, priskribis la kurson de la atako kontraŭ ASELSAN A.Ş kaj trovis eblan partoprenanton Ŝlimakvo.
Ekbrilo per Telegramo
La "drenado" de iranaj APT-grupoj komenciĝis per tio, ke certa Lab Dookhtegan la fontkodoj de ses APT34-iloj (alinome OilRig kaj HelixKitten), malkaŝis la IP-adresojn kaj domajnojn implikitajn en la transakcioj, same kiel datumojn pri 66 viktimoj de piratoj, inter kiuj estis Etihad Airways kaj Emirates National Oil. Lab Dookhtegan ankaŭ "likis" ambaŭ datumojn pri la pasintaj operacioj de la grupo kaj informojn pri dungitoj de la irana Ministerio pri Informo kaj Nacia Sekureco, kiuj estas supozeble ligitaj kun la operacioj de la grupo. OilRig estas Iran-ligita APT-grupo kiu ekzistas ekde 2014 kaj celas registarajn, financajn kaj armeajn organizojn, same kiel energion kaj telekomunikajn kompaniojn en la Proksima Oriento kaj Ĉinio.
Post la ekspozicio de OilRig, la "likoj" daŭris - informoj pri la agadoj de alia porŝtata grupo el Irano, MuddyWater, aperis en la mallumreto kaj Telegramo. Tamen, male al la unua liko, ĉi-foje ne estis la fontkodoj kiuj estis publikigitaj, sed rubejoj, inkluzive de ekrankopioj de la fontoj, kontrolserviloj kaj IP-adresoj de pasintaj viktimoj de piratoj. Ĉi-foje, Green Leakers postulis respondecon por la MuddyWater-liko. Ili posedas plurajn Telegram-kanalojn kaj malhelajn retejojn, kie ili reklamas kaj vendas datumojn rilate al MuddyWater-operacioj.
Ciber-spionoj el Mezoriento
Ŝlimakvo estas grupo kiu funkcias ekde 2017 en la landoj de Mezoriento. Ekzemple, laŭ ekspertoj de Group-IB, de februaro ĝis aprilo 2019, piratoj faris serion de phishing-sendoj direktitaj al registaro, edukaj organizoj, financaj, telekomunikaj kaj defendaj kompanioj en Turkio, Irano, Afganio, Irako kaj Azerbajĝano.
Membroj de la grupo uzas malantaŭan pordon de sia propra dezajno bazita sur PowerShell, kiu estas nomita POTENTOSTATOJ. Li povas:
- kolekti datumojn pri lokaj kaj domajnaj kontoj, disponeblaj dosierserviloj, interna kaj ekstera IP-adreso, OS-nomo kaj arkitekturo;
- plenumi foran kodan ekzekuton;
- alŝutu kaj elŝutu dosierojn per C&C;
- determini la ĉeeston de sencimigaj programoj uzataj en la analizo de malicaj dosieroj;
- malŝaltu la sistemon se troviĝas programoj por analizi malicajn dosierojn;
- forigi dosierojn de lokaj diskoj;
- prenu ekrankopiojn;
- malŝalti protektajn mezurojn de Microsoft Office-produktoj.
En iu momento, la atakantoj faris eraron kaj esploristoj de ReaQta sukcesis akiri la finan IP-adreson, kiu troviĝis en Teherano. Konsiderante la celojn atakitajn de la grupo, kaj ankaŭ ĝiajn taskojn rilate al ciberspionado, spertuloj sugestis, ke la grupo reprezentas la interesojn de la irana registaro.
Atakaj indikilojC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Dosieroj:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Turkio sub la pafilo
La 10-an de April, 2019, Group-IB-specialistoj malkovris likon de retadresoj de la turka kompanio ASELSAN A.Ş, la plej granda milita elektronika kompanio en Turkio. Ĝiaj produktoj inkludas radaron kaj aviadikon, elektro-optikon, aviadikon, senpilotajn sistemojn, terajn, marameajn kaj armilsistemojn, kaj aerdefendsistemojn.
Studante unu el la novaj specimenoj de la malware POWERSTATS, spertuloj de Group-IB determinis, ke la atakgrupo MuddyWater uzis kiel forlogaĵon dokumenton licencinterkonsenton inter Koç Savunma, kompanio pri solvoj pri informa kaj defenda teknologio, kaj Tubitak Bilgem, esploro pri informa sekureco. centro kaj altnivelaj teknologioj. La kontaktpersono por Koç Savunma estis Tahir Taner Tımış, kiu funkciis kiel Program Manager ĉe Koç Bilgi ve Savunma Teknolojileri A.Ş. de septembro 2013 ĝis decembro 2018. Poste li eklaboris por ASELSAN A.Ş.
Ekzempla forlogaĵdokumento
Post kiam la uzanto aktivigas la malicajn makroojn, la malantaŭa pordo POWERSTATS estas elŝutita al la komputilo de la viktimo.
Danke al la metadatenoj de ĉi tiu forlogaĵo (MD5: 0638adf8fb4095d60fbef190a759aa9e), la esploristoj povis trovi tri kromajn specimenojn enhavantajn identajn valorojn, inkluzive de la kredato kaj horo, la uzantnomo kaj la listo de enhavitaj makrooj:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc(21aebece73549b3c4355a6060df410e9)
- F35-Specifoj.doc (5c6148619abb10bb3789dcfb32f759a6)
Ekrankopio de identaj metadatenoj de diversaj mielpotaj dokumentoj
Unu el la malkovritaj dokumentoj nomis ListOfHackedEmails.doc enhavas liston de 34 retadresoj apartenantaj al la domajno @aselsan.com.tr.
Specialistoj de Group-IB kontrolis la retadresojn en la publike haveblaj likoj kaj trovis, ke 28 el ili estis kompromititaj en antaŭe malkovritaj likoj. Kontroli la miksaĵon de disponeblaj likoj montris ĉirkaŭ 400 unikajn ensalutojn asociitajn kun ĉi tiu domajno kaj pasvortojn por ili. Eble la atakantoj uzis ĉi tiujn publike disponeblajn datumojn por ataki ASELSAN A.Ş.
Ekrankopio de ListOfHackedEmails.doc
Ekrankopio de listo de pli ol 450 detektitaj ensalut-pasvortaj paroj en publikaj likoj
Inter la malkovritaj specimenoj estis ankaŭ dokumento kun la titolo F35-Specifoj.docrilatante al la F-35 batalanto. La forlogaĵdokumento estas specifo por la multfunkcia bombĉasaviadilo F-35, indikante la karakterizaĵojn de la aviadilo kaj la prezon. La temo de ĉi tiu forlogaĵo-dokumento rekte rilatas al la rifuzo de Usono provizi F-35-ojn post la aĉeto de Turkio de la S-400-sistemoj kaj la minaco transdoni informojn pri la F-35 Lightning II al Rusio.
Ĉiuj datumoj ricevitaj indikis, ke organizoj situantaj en Turkio estis la ĉefa celo de la ciberatakoj de MuddyWater.
Kiuj estas Gladiyator_CRK kaj Nima Nikjoo?
Antaŭe, en marto 2019, malicaj dokumentoj kreitaj de unu Vindoza uzanto sub la kromnomo Gladiyator_CRK estis malkovritaj. Tiuj dokumentoj ankaŭ distribuis la POWERSTATS-malantaŭan pordon kaj konektis al C&C-servilo kun simila nomo. gladiyator[.]tk.
Ĉi tio eble estis farita post kiam Nima Nikjoo afiŝis afiŝon en Twitter la 14-an de marto 2019, en kiu li provas malkodi malklarigitan kodon rilatan al MuddyWater. En la komentoj al ĉi tiu ĉi tweet, la esploristo diris, ke li ne povis kunhavigi la indikilojn de kompromiso por ĉi tiu malware, ĉar ĉi tiu informo estas konfidenca. Bedaŭrinde, la eniro jam estis forigita, sed ĝiaj spuroj restas en la reto:
Nima Nikjoo estas la posedanto de la profilo Gladiyator_CRK en la iranaj videogastigaj retejoj dideo.ir kaj videoi.ir. En ĉi tiu retejo, li pruvas PoC-ekspluatojn por malŝalti kontraŭvirusajn ilojn de diversaj vendistoj kaj preteriri sablokestojn. Pri li mem, Nima Nikjoo skribas, ke li estas specialisto pri sekureca reto, same kiel inversa inĝeniero kaj analizisto pri malware, kiu laboras por MTN Irancell, irana telekomunika kompanio.
Ekrankopio de konservitaj filmetoj en Google serĉrezultoj:
Poste, la 19-an de marto 2019, Twitter-uzanto Nima Nikjoo ŝanĝis sian kromnomon al Malware Fighter kaj forigis rilatajn afiŝojn kaj komentojn. La profilo Gladiyator_CRK sur la videogatigo dideo.ir ankaŭ estis forigita, same kiel en Jutubo, kaj la profilo mem estis renomita al N Tabrizi. Tamen, preskaŭ monaton poste (la 16-an de aprilo 2019), la Twitter-konto denove komencis uzi la nomon Nima Nikjoo.
Dum la esplorado, specialistoj de Group-IB trovis, ke Nima Nikjoo jam estis menciita lige kun ciberkrimaj agadoj. En aŭgusto 2014, la Iran Khabarestan blogo publikigis informojn pri individuoj asociitaj kun la irana Nasr Institute-ciberkrimulgrupo. Unu el la enketoj de FireEye deklaris ke Nasr Institute estis APT33-entreprenisto kaj ankaŭ estis implikita en DDoS-atakoj sur US bankoj inter 2011 kaj 2013 kiel parto de kampanjo nomita Operation Ababil.
Do la sama blogo menciis Nima Nikju-Nikjoo, kiu disvolvis malbonware por spioni irananoj, kaj lia retadreso estas: gladiyator_cracker@yahoo[.]com.
Ekrankopio de datumoj atribuitaj al ciberkrimuloj de la irana Nasr Institute:
Traduko de la elektita en la rusan: Nima Nikio - Spyware Developer - Retadreso:.
Kiel videblas de ĉi tiu informo, la retadreso estas asociita kun la adreso uzata en la atakoj kaj uzantoj Gladiyator_CRK kaj Nima Nikjoo.
Krome, la artikolo de la 15-a de junio 2017 deklaris, ke Nikjoo ŝajnis esti iom malzorgema publikigante ligilojn al la kompanio Kavosh Security Center en sia vivresumo. Manĝu ke la Kavosh Security Center estas subtenata de la irana ŝtato por financi porregistarajn piratojn.
Informoj pri la kompanio por kiu laboris Nima Nikjoo:
La LinkedIn-profilo de Twitter-uzanto Nima Nikjoo listigas Kavosh Security Center kiel sian unuan laboron, kie li laboris de 2006 ĝis 2014. Dum sia laboro, li studis diversajn malware, kaj ankaŭ traktis inversan kaj malklarig-rilatan laboron.
Informoj pri la kompanio por kiu laboris Nima Nikjoo en LinkedIn:
MuddyWater kaj ŝveligita memestimo
Estas kurioze, ke la grupo MuddyWater zorge kontrolas ĉiujn raportojn kaj mesaĝojn de fakuloj pri informa sekureco publikigitaj pri ili, kaj eĉ intence lasis malverajn flagojn komence por forĵeti esploristojn de la vojo. Ekzemple, iliaj unuaj atakoj trompis spertulojn kiam ili malkovris la uzon de DNS Messenger, kiu estis ofte asociita kun la FIN7-grupo. En aliaj atakoj, ili enigis ŝnurojn en la ĉina en la kodon.
Krome, la grupo tre ŝatas lasi mesaĝojn al la esploristoj. Ekzemple, ili ne ŝatis la fakton, ke Kaspersky Lab metis MuddyWater en la 3-a loko en ĝia minaca takso por la jaro. Samtempe iu - supozeble la grupo MuddyWater - alŝutis al Jutubo PoC-ekspluaton kiu malfunkciigas la LK-antiviruson. Ili ankaŭ lasis komenton sub la artikolo.
Ekrankopioj de la video pri malŝalto de Kaspersky Lab-antiviruso kaj la komento sub ĝi:
Ĝis nun, estas malfacile tiri senduban konkludon pri la engaĝiĝo de "Nima Nikjoo". Fakuloj de Grupo-IB pripensas du versiojn. Nima Nikjoo povas ja esti retpirato de la grupo MuddyWater, kiu aperis pro sia neglektemo kaj pliigita reta agado. La dua opcio estas, ke li estis speciale "lumigita" de aliaj membroj de la grupo por deturni suspekton de si mem. Ĉiukaze, Group-IB daŭrigas siajn esplorojn kaj nepre raportos ĝiajn rezultojn.
Koncerne al iranaj APT-oj, post serio da likoj kaj likoj, ili verŝajne alfrontos seriozan "debriefing" - retpiratoj estos devigitaj serioze ŝanĝi siajn ilojn, purigi spurojn kaj trovi eventualajn "makulojn" en siaj vicoj. Fakuloj ne ekskludis, ke ili eĉ prenos paŭzon, sed post mallonga paŭzo, la iranaj APT-atakoj denove daŭris.
fonto: www.habr.com