Iraani valitsusmeelsed häkkerid on suures hädas. Kogu kevade jooksul avaldasid tundmatud inimesed Telegramis "salajast leket" - teavet Iraani valitsusega seotud APT rühmituste kohta - Naftapuurseadmed и Mudane vesi — nende tööriistad, ohvrid, sidemed. Kuid mitte kõigi kohta. Aprillis avastasid Group-IB spetsialistid Türgi relvajõududele taktikalisi sõjaväeraadioid ja elektroonilisi kaitsesüsteeme tootva Türgi korporatsiooni ASELSAN A.Ş postiaadresside lekke. Anastasia Tihhonova, grupi IB edasijõudnud ohuuuringute meeskonna juht ja Nikita Rostovtsev, Group-IB nooremanalüütik, kirjeldas ASELSAN A.Ş vastu suunatud rünnaku kulgu ja leidis võimaliku osaleja Mudane vesi.
Valgustus telegrammi kaudu
Iraani APT gruppide leke sai alguse sellest, et teatud Lab Doukhtegan kuue APT34 tööriista (teise nimega OilRig ja HelixKitten) lähtekoodid paljastasid operatsioonidega seotud IP-aadressid ja domeenid, samuti andmed 66 häkkerite ohvri kohta, sealhulgas Etihad Airways ja Emirates National Oil. Lab Doookhtegan lekitas ka andmeid grupi varasemate tegevuste kohta ning teavet Iraani teabe- ja riikliku julgeolekuministeeriumi töötajate kohta, kes on väidetavalt seotud grupi tegevusega. OilRig on Iraaniga seotud APT grupp, mis on eksisteerinud umbes 2014. aastast ning on suunatud valitsus-, finants- ja sõjaliste organisatsioonide ning Lähis-Ida ja Hiina energia- ja telekommunikatsiooniettevõtetele.
Pärast OilRigi paljastamist lekked jätkusid – Darknetis ja Telegramis ilmus info teise Iraanist pärit riigimeelse rühmituse MuddyWateri tegevuse kohta. Erinevalt esimesest lekkest ei avaldatud seekord aga mitte lähtekoodid, vaid ürikud, sealhulgas lähtekoodide ekraanipildid, juhtserverid, aga ka häkkerite varasemate ohvrite IP-aadressid. Seekord võtsid MuddyWaterit puudutava lekke eest vastutuse Green Leakersi häkkerid. Neile kuulub mitu Telegrami kanalit ja darkneti saiti, kus nad reklaamivad ja müüvad MuddyWateri tegevusega seotud andmeid.
Küberspioonid Lähis-Idast
Mudane vesi on rühmitus, mis on Lähis-Idas tegutsenud alates 2017. aastast. Näiteks nagu Group-IB eksperdid märgivad, viisid häkkerid 2019. aasta veebruarist aprillini läbi mitmeid andmepüügimeile, mis olid suunatud Türgi, Iraani, Afganistani, Iraagi ja Aserbaidžaani valitsusele, haridusorganisatsioonidele, finants-, telekommunikatsiooni- ja kaitseettevõtetele.
Grupi liikmed kasutavad PowerShellil põhinevat enda arenduse tagaust, mida nimetatakse POWERSTATS. Ta suudab:
- koguda andmeid kohalike ja domeenikontode, saadaolevate failiserverite, sisemiste ja väliste IP-aadresside, nime ja OS-i arhitektuuri kohta;
- teostada koodi kaugtäitmist;
- failid üles ja alla laadida C&C;
- tuvastada pahatahtlike failide analüüsimisel kasutatavate silumisprogrammide olemasolu;
- sulgege süsteem, kui leitakse pahatahtlike failide analüüsimise programme;
- failide kustutamine kohalikelt draividelt;
- teha ekraanipilte;
- keelake Microsoft Office'i toodete turvameetmed.
Mingil hetkel tegid ründajad vea ja ReaQta teadlastel õnnestus saada lõplik IP-aadress, mis asus Teheranis. Arvestades rühmituse rünnatud sihtmärke ja küberspionaažiga seotud eesmärke, on eksperdid oletanud, et rühmitus esindab Iraani valitsuse huve.
Rünnaku indikaatoridC&C:
- gladiaator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Failid:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye rünnaku all
10. aprillil 2019 avastasid Group-IB spetsialistid Türgi suurima sõjaelektroonika valdkonna ettevõtte ASELSAN A.Ş postiaadresside lekke. Selle toodete hulka kuuluvad radar ja elektroonika, elektrooptika, avioonika, mehitamata süsteemid, maa-, mere-, relva- ja õhutõrjesüsteemid.
Uurides üht uut POWERSTATSi pahavara näidist, tegid Group-IB eksperdid kindlaks, et MuddyWateri ründajate rühmitus kasutas söödadokumendina info- ja kaitsetehnoloogia valdkonna lahendusi tootva ettevõtte Koç Savunma ja Tubitak Bilgemi vahel sõlmitud litsentsilepingut. , infoturbe uurimiskeskus ja kõrgtehnoloogiad. Koç Savunma kontaktisik oli Tahir Taner Tımış, kes töötas Koç Bilgi ve Savunma Teknolojileri A.Ş programmijuhi ametikohal. septembrist 2013 kuni detsembrini 2018. Hiljem asus ta tööle ASELSAN A.Ş.
Peibutusdokumendi näidis
Pärast seda, kui kasutaja on aktiveerinud pahatahtlikud makrod, laaditakse POWERSTATSi tagauks ohvri arvutisse.
Tänu selle peibutusdokumendi metaandmetele (MD5: 0638adf8fb4095d60fbef190a759aa9e) teadlased suutsid leida kolm täiendavat näidist, mis sisaldavad identseid väärtusi, sealhulgas loomise kuupäev ja kellaaeg, kasutajanimi ja makrode loend:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Ekraanipilt erinevate peibutusdokumentide identsetest metaandmetest
Üks avastatud dokumentidest nimega ListOfHackedEmails.doc sisaldab 34 domeeni kuuluva e-posti aadressi loendit @aselsan.com.tr.
Grupi IB spetsialistid kontrollisid avalikult kättesaadavate lekete e-posti aadresse ja leidsid, et 28 neist olid varem avastatud lekete tõttu ohustatud. Saadaolevate lekete kombinatsiooni kontrollimine näitas umbes 400 selle domeeniga seotud unikaalset sisselogimist ja nende paroole. Võimalik, et ründajad kasutasid neid avalikult kättesaadavaid andmeid ASELSAN A.Ş ründamiseks.
Ekraanitõmmis dokumendist ListOfHackedEmails.doc
Ekraanipilt enam kui 450 avalikes leketes tuvastatud sisselogimisparoolide paarist
Avastatud proovide hulgas oli ka pealkirjaga dokument F35-Spetsifikatsioonid.doc, viidates hävitajale F-35. Söödadokument on mitmeotstarbelise hävitaja-pommitaja F-35 spetsifikatsioon, mis näitab lennuki omadusi ja hinda. Selle peibutusdokumendi teema on otseselt seotud USA keeldumisega F-35 tarnimisest pärast seda, kui Türgi ostis S-400 süsteemid, ja ähvardusega edastada F-35 Lightning II kohta teave Venemaale.
Kõik saadud andmed näitasid, et MuddyWateri küberrünnakute peamised sihtmärgid olid Türgis asuvad organisatsioonid.
Kes on Gladiyator_CRK ja Nima Nikjoo?
Varem, 2019. aasta märtsis, avastati ühe Windowsi kasutaja poolt hüüdnime Gladiyator_CRK all loodud pahatahtlikud dokumendid. Need dokumendid levitasid ka POWERSTATSi tagaust ja ühendati sarnase nimega C&C serveriga gladiaator[.]tk.
Seda võis teha pärast seda, kui kasutaja Nima Nikjoo postitas Twitterisse 14. märtsil 2019, üritades dekodeerida MuddyWateriga seotud hägustatud koodi. Selle säutsu kommentaarides ütles teadlane, et ta ei saa jagada selle pahavara kompromissi näitajaid, kuna see teave on konfidentsiaalne. Kahjuks on postitus juba kustutatud, kuid selle jäljed on veebis alles:
Nima Nikjoo on Gladiyator_CRK profiili omanik Iraani videomajutussaitidel dideo.ir ja videoi.ir. Sellel saidil demonstreerib ta PoC-i ärakasutusi, et keelata erinevate tarnijate viirusetõrjetööriistad ja mööda minna liivakastidest. Nima Nikjoo kirjutab enda kohta, et on võrguturbe spetsialist, aga ka pöördinsener ja pahavaraanalüütik, kes töötab Iraani telekommunikatsiooniettevõttes MTN Irancell.
Ekraanipilt Google'i otsingutulemustes salvestatud videotest:
Hiljem, 19. märtsil 2019, muutis kasutaja Nima Nikjoo suhtlusvõrgustikus Twitter oma hüüdnime Malware Fighteriks ning kustutas ka sellega seotud postitused ja kommentaarid. Samuti kustutati videomajutaja dideo.ir Gladiyator_CRK profiil, nagu ka YouTube'is, ning profiil ise nimetati ümber N Tabriziks. Peaaegu kuu aega hiljem (16. aprill 2019) hakkas Twitteri konto aga taas kasutama nime Nima Nikjoo.
Uuringu käigus avastasid Group-IB spetsialistid, et Nima Nikjood on juba mainitud seoses küberkuritegevusega. 2014. aasta augustis avaldas Iran Khabarestani ajaveeb teavet küberkurjategijate rühmitusega Iraani Nasr Institute seotud isikute kohta. Üks FireEye uurimine väitis, et Nasr Institute oli APT33 töövõtja ja osales ka aastatel 2011–2013 USA pankade vastu suunatud DDoS-i rünnakutes osana kampaaniast nimega Operation Ababil.
Nii mainiti samas blogis Nima Nikju-Nikjoo, kes arendas pahavara iraanlaste järele luuramiseks, ja tema meiliaadressi: gladiyator_cracker@yahoo[.]com.
Ekraanipilt Iraani Nasri Instituudi küberkurjategijatele omistatud andmetest:
Esiletõstetud teksti tõlge vene keelde: Nima Nikio – nuhkvaraarendaja – e-post:.
Nagu sellest infost näha, on meiliaadress seotud rünnakutes kasutatud aadressiga ning kasutajatega Gladiyator_CRK ja Nima Nikjoo.
Lisaks märgiti 15. juuni 2017 artiklis, et Nikjoo oli mõnevõrra hooletu, postitades oma CV-sse viiteid Kavoshi turvakeskusele. Sööma et Kavoshi julgeolekukeskust toetab Iraani riik valitsusmeelsete häkkerite rahastamiseks.
Teave ettevõtte kohta, kus Nima Nikjoo töötas:
Twitteri kasutaja Nima Nikjoo LinkedIn profiilil on tema esimene töökoht Kavoshi turvakeskus, kus ta töötas aastatel 2006–2014. Töö käigus uuris ta erinevaid pahavarasid, samuti tegeles tagurpidi ja hägustamisega seotud töödega.
Teave ettevõtte kohta, kus Nima Nikjoo LinkedInis töötas:
MuddyWater ja kõrge enesehinnang
On uudishimulik, et MuddyWater grupp jälgib hoolikalt kõiki nende kohta avaldatud infoturbeekspertide teateid ja sõnumeid ning jättis teadlaste lõhnast eemale peletamiseks alguses isegi teadlikult valelippe. Näiteks eksitasid nende esimesed rünnakud eksperte, tuvastades DNS Messengeri kasutamise, mida tavaliselt seostati grupiga FIN7. Teiste rünnakute puhul sisestasid nad koodi Hiina stringe.
Lisaks armastab rühm jätta teadlastele sõnumeid. Näiteks ei meeldinud neile, et Kaspersky Lab paigutas MuddyWateri aasta ohuhinnangus 3. kohale. Samal hetkel laadis keegi – oletatavasti MuddyWater grupp – YouTube’i üles LK viirusetõrje keelava ärakasutamise PoC. Nad jätsid artikli alla ka kommentaari.
Ekraanipildid videost Kaspersky Labi viirusetõrje keelamisest ja allolevast kommentaarist:
“Nima Nikjoo” seotuse kohta on siiani raske ühemõttelist järeldust teha. Group-IB eksperdid kaaluvad kahte versiooni. Nima Nikjoo võib tõepoolest olla häkker MuddyWateri grupist, kes tuli päevavalgele oma hooletuse ja võrgus suurenenud aktiivsuse tõttu. Teine võimalus on see, et teised grupi liikmed "paljastasid" ta teadlikult, et kahtlust endalt kõrvale juhtida. Igal juhul jätkab Group-IB uurimistööd ja annab kindlasti oma tulemustest teada.
Mis puudutab Iraani APT-sid, siis pärast mitmeid lekkeid ja lekkeid ootab neid tõenäoliselt ees tõsine "debriifing" - häkkerid on sunnitud tõsiselt oma tööriistu vahetama, jälgi koristama ja oma ridadest võimalikke "mutte" leidma. Eksperdid ei välistanud, et võtavad isegi timeouti, kuid pärast väikest pausi jätkusid Iraani APT rünnakud taas.
Allikas: www.habr.com