Iraani valitsuse toetusega küberrästeritel on tõsised probleemid. Kogu kevade jooksul avaldasid tundmatud isikud Telegramis "salajasi lekkeid" — teavet Iraagi valitsusele seotud APT-gruppide kohta — OilRig ja MuddyWater — nende tööriistade, ohvrite ja sidemete kohta. Aga mitte kõikidest. Aprillis avastas Group-IB ASELSAN A.Ş, Türgi relvajõudude jaoks taktikaliste sõjalandide ja elektrooniliste kaitsesüsteemide tootmisega tegeleva ettevõtte e-posti aadresside lekkimise. Anastasia Tikhonova, Group-IB keerukate ohtude uurimisgrupi juht, ja Nikita Rostovtsev, Group-IB noorem analüütik, kirjeldasid rünnaku kulgu ASELSAN A.Ş-le ja leidsid võimaliku osalise MuddyWater.
Valgustus läbi Telegrami
Iraani APT-gruppide "leke" algas sellega, et keegi Lab Dookhtegan APT34 (tuntud ka kui OilRig ja HelixKitten) kuue tööriista lähtekoodid, paljastasid IP-aadressid ja domeenid, mis osalesid tegevustes, samuti andmed 66 häkkimise ohvri kohta, kelle seas olid ettevõtted Etihad Airways ja Emirates National Oil. Samuti levis Lab Dookhtegan andmed rühma varasemate tegevuste kohta ja teave Iraagi teabe- ja rahvusliku julgeoleku ministeeriumi töötajate kohta, kellel väidetavalt on sidemed rühmituse tegevustega. OilRig on Iraagi seotud APT-rühm, mis on eksisteerinud umbes alates 2014. aastast ja on suunatud valitsus-, rahandus- ja kaitseorganisatsioonidele, samuti energiasektori ja telekommunikatsiooniettevõtetele Lähis-Idas ja Hiinas.
Pärast OilRig'i avalikustamist jätkusid "leked" – tumedas kohtades ja Telegramis ilmus teavet teise Iraani riigi toetava rühma, MuddyWater'i, tegevuse kohta. Kuid erinevalt esimesest lekest avaldati seekord mitte lähtekoodid, vaid dump'id, mis sisaldavad lähtekoodide снимkeid, haldussüsteemide skripte ja ka viimaste ohvrite IP-aadresse. Seekord võtsid MuddyWater'i lekkimise eest vastutuse häkkerid Green Leakers. Nendele kuulub mitu Telegrami kanalit ja tumedat veebilehte, kus nad reklaamivad ja müüvad andmeid, mis on seotud MuddyWater'i operatsioonidega.
Küberluureagendid Lähis-Idast
MuddyWater on rühm, mis tegutseb alates 2017. aastast Lähis-Ida riikides. Näiteks märkis Group-IB spetsialistid, et 2019. aasta veebruarist aprillini viisid häkkerid läbi seeria phishing-kampaaniaid, suunatud Türgi, Iraani, Afganistani, Iraagi ja Aserbaidžaani valitsus- ja haridusasutustele, finants-, telekommunikatsiooni- ja kaitseettevõtetele.
Rühma liikmed kasutavad oma arendatud PowerShelli põhist tagaukse, millele on antud nimi POWERSTATS. See suudab:
- koguda andmete kogumine kohalike ja domeenide kasutajakontode, kergesti kätte saadavate failiserverite, sise- ja välise IP-aadressi, operatsioonisüsteemi nime ja arhitektuuri kohta;
- teostama kaugtäide funktsioone;
- teostama faile üles- ja allalaadimist C&C kaudu;
- tuvastama küberrünnakute analüüsimiseks kasutatavate siluri programmide olemasolust;
- välja lülitama süsteemi, kui tuvastatakse küberründetegevuse analüüsiks programme;
- kustutama faile kohalikelt ketastelt;
- tegema ekraanipilte;
- välja lülitama Microsoft Office'i toodete kaitsemeetmed.
Ühel hetkel sooritasid häkkerid vea, mis võimaldas ReaQta ettevõtte teadlastel saada kätte lõpp-IP-aadress, mis asus Teheranis. Arvestades rünnakuobjekte ja rühma seotud küberluureülesandeid, arvasid spetsialistid, et rühm esindab Iraani valitsuse huve.
Rünnakute indikaatoridC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Failid:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türgi sihtmärgina
10. aprillil 2019 avastas Group-IB e-posti aadresside lekke Türgi ettevõttes ASELSAN A.Ş — suurimas kaitseelektroonika ettevõttes Türgis. Nende toodete hulka kuuluvad radarid ja raadioelektroonikaseadmed, optika, aviatsioonitehnika, droonid, maapinna, meri ja relvasüsteemid, samuti õhukaitsesüsteemid.
Uurides üht uut pahavara POWERSTATS näidet, tuvastasid Group-IB eksperdid, et rühm kurjategijaid MuddyWater kasutas lõksudena Koç Savunma, infotehnoloogia ja kaitsetehnoloogia lahenduste tootja, ja Tubitak Bilgem, küberturbe ja edasiste tehnoloogiate teadusparki, vahel sõlmitud litsentsilepingut. Koç Savunma esindajana esitati kontaktisikuna Tahir Taner Tımış, kes töötas Koç Bilgi ve Savunma Teknolojileri A.Ş. programmide juhina 2013. aasta septembrist 2018. aasta detsembrini. Hiljem asus ta tööle ASELSAN A.Ş.
Lõksudokumendi näidis
Pärast seda, kui kasutaja aktiveerib pahavara makrod, laaditakse ohvri arvutisse bökdoor POWERSTATS.
Selle dokumendi metainfo (MD5: 0638adf8fb4095d60fbef190a759aa9e) abil suutsid teadlased leida kolm täiendavat näidist, millel on identsed väärtused, sealhulgas loomise kuupäev ja kellaaeg, kasutajanimi ning loetelu sisaldavatest makrodest:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Ekraanipilt erinevate dokumendide identsest metainfo
Üks tuvastatud dokument nimega ListOfHackedEmails.doc sisaldab nimekirja 34 meiliaadressist, mis kuuluvad domeenile @aselsan.com.tr.
Group-IB eksperdid kontrollisid lekitatud meiliaadresse ja tuvastasid, et 28 neist oli varem lekitatud. Erinevate lekkidest koostatud mikroanalüüs näitas ligikaudu 400 ainulaadset kasutajanime, mis on seotud selle domeeniga, ning nende paroolid. On tõenäoline, et kurjategijad kasutasid neid avalikult kergesti kättesaadavaid andmeid ASELSAN A.Ş. ründamiseks.
Ekraanipilt dokumendist ListOfHackedEmails.doc
Ekraanipilt loetelust, mis sisaldab rohkem kui 450 tuvastatud kasutajatunnuse ja parooli paari avalikes lekkides
Tuvastatud näidiste seas oli ka dokument nimega F35-Specifications.doc, viidates F-35 hävitajale. Püüdjat dokument on F-35 mitmeotstarbeliste hävitajate spetsifikatsioon, milles on toodud lennukite omadused ja hinnad. Selle dokumendi teema on otseselt seotud Ameerika Ühendriikide otsusega mitte tarnida F-35 pärast Türgi S-400 komplekside ostmist ning ähvardusega edastada Venemaale teavet F-35 Lightning II kohta.
Kogutud andmed näitasid, et MuddyWater küberrünnakute peamine sihtmärk olid Türgis asuvad organisatsioonid.
Kes on Gladiyator_CRK ja Nima Nikjoo?
Varem, 2019. aasta märtsis, leiti pahatahtlikud dokumendid, mille oli loonud Windowsi kasutaja nimega Gladiyator_CRK. Need dokumendid levitasid ka POWERSTATS tagaukse ja ühendusid sarnase nimega C&C serveriga. gladiyator[.]tk.
Võimalik, et see toimus pärast 14. märtsi 2019, kui kasutaja Nima Nikjoo postitas Twitterisse sõnumi, kus ta üritas dekodeerida MuddyWateriga seotud obfuskeeritud koodi. Selle säutsu kommentaarides ütles uurija, et ei saa jagada selle pahavara komprimeerimise indikaatoreid, kuna see informatsioon on konfidentsiaalne. Kahjuks on postitus juba eemaldatud, kuid selle jäljed on internetis alles.
Nima Nikjoo on profili Gladiyator_CRK omanik Iraani videohostingutel dideo.ir ja videoi.ir. Sellel saidil demonstreerib ta PoC ekspluateeringute esitlusi erinevate tootjate viirusetõrjetarkvarade keelamiseks ja liivakastide ümbersuunamiseks. Nima Nikjoo kirjutab enda kohta, et ta on võrguohutuse spetsialist, samuti pöördinsener ja pahavara analüütik, kes töötab MTN Irancellis — Iraani telekommunikatsiooniettevõttes.
Kuvand salvestatud videotest Google'i otsingutulemustes:
Hiljem, 19. märtsil 2019, muutis kasutaja Nima Nikjoo oma Twitteri kasutajanime Malware Fighter'iks ning kustutas sellega seotud postitused ja kommentaarid. Gladiyator_CRK profiil video jagamise keskkonnas dideo.ir kustutati samuti, nagu ka YouTube'is, ja profiil nimetati ümber N Tabriziks. Kuid peaaegu kuu aega hiljem (16. aprillil 2019) hakati Twitteri kontol taas kasutama nime Nima Nikjoo.
Uuringu käigus avastas Group-IB spetsialistid, et Nima Nikjoo on juba seostatud küberkuritegevusega. Augustis 2014 avaldati Iran Khabarestani blogis teavet isikute kohta, kes olid seotud küberkuritegeliku rühmaga Iranian Nasr Institute. Ühes FireEye uuringus öeldi, et Nasr Institute oli APT33 lepingupartner ning osales DDoS-rünnakutes Ameerika pankade vastu ajavahemikus 2011–2013 kampaania käigus, mis kannab nime Operation Ababil.
Samas blogis mainiti ka Nima Nikju-Nikjoo'd, kes töötas välja pahavara, et spioneerida iirlaste üle, ning tema e-posti aadress: gladiyator_cracker@yahoo[.]com.
Kuvatõmmis andmetest, mis seondub küberkurjategijatega Iranian Nasr Institute:
Tõlge esiletõstetud tekstist vene keelde: Nima Nikjoo — Špionprogrammid arendaja — E-posti aadress:.
Nagu nähtub sellest teabest, on e-posti aadress seotud rünnakutes kasutatud aadressiga ning kasutajatega Gladiyator_CRK ja Nima Nikjoo.
Lisaks öeldi 15. juuni 2017. aasta artiklis, et Nikjoo oli üsna hooletu, avaldades oma CV-s linke ettevõttele Kavosh Security Center. On , et organisatsiooni Kavosh Security Center toetab Iraani riik, et rahastada valitsusmeelseid häkkerite tegevusi.
Teave ettevõtte kohta, kus Nima Nikjoo töötas:
Twitteri kasutaja Nima Nikjoo LinkedIn'i profiilis on esimeseks tööks toodud Kavosh Security Center, kus ta töötas 2006. aastast 2014. aastani. Oma töös uuris ta erinevaid pahavaro, samuti tegeles ta pöördprojekteerimise ja obfuskeeringutega.
Teave ettevõtte kohta, kus Nima Nikjoo töötas LinkedIn'is:
MuddyWater ja liialdatud enesehinnang
Huvitav on see, et grup MuddyWater jälgib hoolikalt kõiki avaldatud aruandeid ja infoturbeekspertide postitusi, ning nad isegi eemaldasid alguses vale lippe, et uurijaid eksiteele juhtida. Näiteks nende esimesed rünnakud eksitasid spetsialiste, kuna avastati DNS Messenger'i kasutamine, mida tavaliselt seostatakse grupiga FIN7. Muudes rünnakutes lisasid nad koodi ridu hiina keeles.
Lisaks on grupile väga meeltmööda jätta uurijatele sõnumeid. Näiteks ei meeldinud neile, et "Kaspersky labor" paigutab oma aastases ähvarduste reitingus MuddyWateri 3. kohale. Sel hetkel laadis keegi - eeldatavalt MuddyWateri grupp - YouTube'i PoC ekspluateerimise, mis keelab "LKi" viirusetõrje. Nad jätsid ka kommentaari artikli alla.
Screend juhtimise video kohta 'Kaspersky labori' viirusetõrje keelamisest ja kommentaarid selle all:
Praegu on raske kindlalt öelda, kas Nima Nikjoo on seotud sündmustega. Group-IB eksperdid kaaluvad kahte võimalust. Nima Nikjoo võib tõepoolest olla MuddyWater rühma häkker, kes jäi vahele oma hooletuse ja suurenenud aktiivsuse tõttu veebis. Teine võimalus on see, et teised grupi liikmed on teda meelevaldselt „üles andnud”, et end kahtlustest kõrvaldada. Igatahes jätkab Group-IB oma uuringut ja teatab kindlasti selle tulemustest.
Mis puutub Iraani APT-desse, siis pärast mitmeid lekkeid ja avaldusi ootab neid tõenäoliselt tõsine „lennukite analüüsimine” — häkkerid on sunnitud tõsiselt muutma oma tööriistu, puhastama jälgi ja leidma oma seast võimalikke „kaha” (spioone). Eksperdid ei välistanud, et nad võivad isegi teha pausi, kuid pärast lühikest puhkust jätkati Iraani APT-de rünnakutega jälle.
Allikas: habr.com
