Los hackers iraníes progubernamentales están en un gran problema. A lo largo de la primavera, desconocidos publicaron "filtraciones secretas" en Telegram - información sobre grupos APT asociados con el gobierno iraní - Plataforma petrolera и Agua Fangosa – sus herramientas, víctimas, conexiones. Pero no sobre todos. En abril, los especialistas del Grupo IB descubrieron una filtración de las direcciones postales de la empresa turca ASELSAN A.Ş, que produce radios militares tácticas y sistemas de defensa electrónicos para las fuerzas armadas turcas. Anastasia Tijonova, Líder del equipo de investigación de amenazas avanzadas del Grupo IB, y Nikita Rostovtsev, analista junior del Grupo-IB, describió el curso del ataque a ASELSAN A.Ş y encontró un posible participante Agua Fangosa.
Iluminación vía Telegram
La filtración de los grupos APT iraníes comenzó con el hecho de que un tal Lab Doukhtegan Los códigos fuente de seis herramientas APT34 (también conocidas como OilRig y HelixKitten), revelaron las direcciones IP y los dominios involucrados en las operaciones, así como datos sobre 66 víctimas de piratas informáticos, incluidas Etihad Airways y Emirates National Oil. Lab Doookhtegan también filtró datos sobre las operaciones pasadas del grupo e información sobre empleados del Ministerio de Información y Seguridad Nacional iraní que supuestamente están asociados con las operaciones del grupo. OilRig es un grupo APT vinculado a Irán que existe desde aproximadamente 2014 y apunta a organizaciones gubernamentales, financieras y militares, así como a empresas de energía y telecomunicaciones en Medio Oriente y China.
Después de que OilRig quedó al descubierto, las filtraciones continuaron: información sobre las actividades de otro grupo proestatal de Irán, MuddyWater, apareció en la red oscura y en Telegram. Sin embargo, a diferencia de la primera filtración, esta vez no se publicaron códigos fuente, sino volcados, incluidas capturas de pantalla de los códigos fuente, servidores de control, así como las direcciones IP de víctimas anteriores de los piratas informáticos. Esta vez, los hackers de Green Leakers asumieron la responsabilidad de la filtración sobre MuddyWater. Poseen varios canales de Telegram y sitios de red oscura donde anuncian y venden datos relacionados con las operaciones de MuddyWater.
Ciberespías de Oriente Medio
Agua Fangosa es un grupo que ha estado activo desde 2017 en el Medio Oriente. Por ejemplo, como señalan los expertos del Grupo-IB, de febrero a abril de 2019, los piratas informáticos llevaron a cabo una serie de correos de phishing dirigidos a gobiernos, organizaciones educativas, empresas financieras, de telecomunicaciones y de defensa en Turquía, Irán, Afganistán, Irak y Azerbaiyán.
Los integrantes del grupo utilizan un backdoor de desarrollo propio basado en PowerShell, el cual se llama ESTADÍSTICAS DE PODER. Él puede:
- recopilar datos sobre cuentas locales y de dominio, servidores de archivos disponibles, direcciones IP internas y externas, nombre y arquitectura del sistema operativo;
- realizar ejecución remota de código;
- cargar y descargar archivos a través de C&C;
- detectar la presencia de programas de depuración utilizados en el análisis de archivos maliciosos;
- apague el sistema si se encuentran programas para analizar archivos maliciosos;
- eliminar archivos de unidades locales;
- tomar capturas de pantalla;
- deshabilite las medidas de seguridad en los productos de Microsoft Office.
En algún momento, los atacantes cometieron un error y los investigadores de ReaQta lograron obtener la dirección IP final, que estaba ubicada en Teherán. Dados los objetivos atacados por el grupo, así como sus objetivos relacionados con el ciberespionaje, los expertos han sugerido que el grupo representa los intereses del gobierno iraní.
Indicadores de ataqueC&C:
- gladiador[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Archivos:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye bajo ataque
El 10 de abril de 2019, los especialistas del Grupo IB descubrieron una filtración de las direcciones postales de la empresa turca ASELSAN A.Ş, la mayor empresa en el campo de la electrónica militar en Turquía. Sus productos incluyen radar y electrónica, electroóptica, aviónica, sistemas no tripulados, sistemas terrestres, navales, de armas y de defensa aérea.
Al estudiar una de las nuevas muestras del malware POWERSTATS, los expertos del Grupo IB determinaron que el grupo de atacantes MuddyWater utilizó como documento de cebo un acuerdo de licencia entre Koç Savunma, una empresa que produce soluciones en el campo de las tecnologías de la información y de defensa, y Tubitak Bilgem. , un centro de investigación de seguridad de la información y tecnologías avanzadas. La persona de contacto de Koç Savunma fue Tahir Taner Tımış, quien ocupaba el puesto de Director de Programas en Koç Bilgi ve Savunma Teknolojileri A.Ş. de septiembre de 2013 a diciembre de 2018. Posteriormente empezó a trabajar en ASELSAN A.Ş.
Ejemplo de documento señuelo
Después de que el usuario activa macros maliciosas, la puerta trasera POWERSTATS se descarga en la computadora de la víctima.
Gracias a los metadatos de este documento señuelo (MD5: 0638adf8fb4095d60fbef190a759aa9e) los investigadores pudieron encontrar tres muestras adicionales que contenían valores idénticos, incluida la fecha y hora de creación, el nombre de usuario y una lista de macros contenidas:
- ListaDeCorreosEmailsHackeados.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Especificaciones.doc (5c6148619abb10bb3789dcfb32f759a6)
Captura de pantalla de metadatos idénticos de varios documentos señuelo
Uno de los documentos descubiertos con el nombre. Lista de correos electrónicos pirateados.doc contiene una lista de 34 direcciones de correo electrónico que pertenecen al dominio @aselsan.com.tr.
Los especialistas de Group-IB verificaron direcciones de correo electrónico en filtraciones disponibles públicamente y descubrieron que 28 de ellas estaban comprometidas en filtraciones descubiertas previamente. La verificación de la combinación de filtraciones disponibles mostró alrededor de 400 inicios de sesión únicos asociados con este dominio y contraseñas para ellos. Es posible que los atacantes hayan utilizado estos datos disponibles públicamente para atacar a ASELSAN A.Ş.
Captura de pantalla del documento ListOfHackedEmails.doc
Captura de pantalla de una lista de más de 450 pares de inicio de sesión y contraseña detectados en filtraciones públicas
Entre las muestras descubiertas también se encontraba un documento con el título F35-Especificaciones.doc, refiriéndose al avión de combate F-35. El documento cebo es una especificación para el cazabombardero multifunción F-35, que indica las características y el precio del avión. El tema de este documento señuelo se relaciona directamente con la negativa de Estados Unidos a suministrar F-35 después de la compra de los sistemas S-400 por parte de Turquía y la amenaza de transferir información sobre el F-35 Lightning II a Rusia.
Todos los datos recibidos indicaron que los principales objetivos de los ciberataques de MuddyWater eran organizaciones ubicadas en Turquía.
¿Quiénes son Gladiyator_CRK y Nima Nikjoo?
Anteriormente, en marzo de 2019, se descubrieron documentos maliciosos creados por un usuario de Windows con el sobrenombre de Gladiyator_CRK. Estos documentos también distribuyeron la puerta trasera POWERSTATS y se conectaron a un servidor C&C con un nombre similar. gladiador[.]tk.
Es posible que esto se haya hecho después de que el usuario Nima Nikjoo publicara en Twitter el 14 de marzo de 2019, intentando decodificar el código ofuscado asociado con MuddyWater. En los comentarios a este tweet, el investigador dijo que no podía compartir indicadores de compromiso de este malware, ya que esta información es confidencial. Desafortunadamente, la publicación ya ha sido eliminada, pero quedan rastros en línea:
Nima Nikjoo es la propietaria del perfil Gladiyator_CRK en los sitios iraníes de alojamiento de vídeos dideo.ir y videoi.ir. En este sitio, demuestra exploits PoC para deshabilitar herramientas antivirus de varios proveedores y evitar entornos aislados. Nima Nikjoo escribe sobre sí mismo que es un especialista en seguridad de redes, además de ingeniero inverso y analista de malware que trabaja para MTN Irancell, una empresa de telecomunicaciones iraní.
Captura de pantalla de vídeos guardados en los resultados de búsqueda de Google:
Posteriormente, el 19 de marzo de 2019, el usuario Nima Nikjoo en la red social Twitter cambió su apodo a Malware Fighter, y también eliminó publicaciones y comentarios relacionados. El perfil de Gladiyator_CRK en el sitio de alojamiento de vídeos dideo.ir también fue eliminado, al igual que en YouTube, y el perfil en sí pasó a llamarse N Tabrizi. Sin embargo, casi un mes después (16 de abril de 2019), la cuenta de Twitter comenzó a utilizar nuevamente el nombre Nima Nikjoo.
Durante el estudio, los especialistas del Grupo IB descubrieron que Nima Nikjoo ya había sido mencionada en relación con actividades cibercriminales. En agosto de 2014, el blog Iran Khabarestan publicó información sobre personas asociadas con el grupo cibercriminal Instituto Iraní Nasr. Una investigación de FireEye afirmó que el Instituto Nasr era contratista de APT33 y también estuvo involucrado en ataques DDoS a bancos estadounidenses entre 2011 y 2013 como parte de una campaña llamada Operación Ababil.
Entonces, en el mismo blog, se mencionó a Nima Nikju-Nikjoo, que estaba desarrollando malware para espiar a los iraníes, y su dirección de correo electrónico: gladiyator_cracker@yahoo[.]com.
Captura de pantalla de datos atribuidos a ciberdelincuentes del Instituto Nasr iraní:
Traducción del texto resaltado al ruso: Nima Nikio - Desarrollador de software espía - Correo electrónico:.
Como se puede ver en esta información, la dirección de correo electrónico está asociada con la dirección utilizada en los ataques y los usuarios Gladiyator_CRK y Nima Nikjoo.
Además, el artículo del 15 de junio de 2017 afirmaba que Nikjoo fue algo descuidado al publicar referencias al Centro de Seguridad Kavosh en su currículum. Comer que el Centro de Seguridad Kavosh cuenta con el apoyo del Estado iraní para financiar a los piratas informáticos progubernamentales.
Información sobre la empresa donde trabajaba Nima Nikjoo:
El perfil de LinkedIn del usuario de Twitter Nima Nikjoo enumera su primer lugar de empleo como Kavosh Security Center, donde trabajó de 2006 a 2014. Durante su trabajo, estudió varios programas maliciosos y también se ocupó del trabajo inverso y relacionado con la ofuscación.
Información sobre la empresa para la que trabajaba Nima Nikjoo en LinkedIn:
MuddyWater y alta autoestima
Es curioso que el grupo MuddyWater siga atentamente todos los informes y mensajes de los expertos en seguridad de la información que publican sobre ellos, e incluso al principio dejó deliberadamente falsas banderas para despistar a los investigadores. Por ejemplo, sus primeros ataques engañaron a los expertos al detectar el uso de DNS Messenger, comúnmente asociado con el grupo FIN7. En otros ataques, insertaron cadenas chinas en el código.
Además, al grupo le encanta dejar mensajes a los investigadores. Por ejemplo, no les gustó que Kaspersky Lab colocara a MuddyWater en el tercer lugar en su clasificación de amenaza para el año. Al mismo tiempo, alguien (presumiblemente el grupo MuddyWater) subió una PoC de un exploit a YouTube que desactiva el antivirus LK. También dejaron un comentario debajo del artículo.
Capturas de pantalla del vídeo sobre cómo desactivar el antivirus Kaspersky Lab y el comentario a continuación:
Todavía es difícil llegar a una conclusión inequívoca sobre la participación de “Nima Nikjoo”. Los expertos del Grupo IB consideran dos versiones. Nima Nikjoo, de hecho, puede ser un hacker del grupo MuddyWater, que salió a la luz debido a su negligencia y aumento de actividad en la red. La segunda opción es que otros miembros del grupo lo “expusieron” deliberadamente para desviar las sospechas sobre ellos mismos. En cualquier caso, Group-IB continúa su investigación y definitivamente informará sus resultados.
En cuanto a las APT iraníes, después de una serie de filtraciones y filtraciones, probablemente se enfrentarán a un "interrogatorio" serio: los piratas informáticos se verán obligados a cambiar seriamente sus herramientas, limpiar sus huellas y encontrar posibles "topos" en sus filas. Los expertos no descartaron que incluso se tomaran un tiempo de espera, pero después de un breve descanso, los ataques iraníes del APT continuaron.
Fuente: habr.com