Irango gobernuaren aldeko hackerrak arazo handiak dituzte. Udaberrian zehar, pertsona ezezagunek "filtrazio sekretuak" argitaratu zituzten Telegramen - Irango gobernuarekin lotutako APT taldeei buruzko informazioa - OilRig ΠΈ MuddyWater β haien tresnak, biktimak, konexioak. Baina ez guztiei buruz. Apirilean, IB Taldeko espezialistek Turkiako ASELSAN A.Ε korporazioaren posta-helbideen filtrazioa aurkitu zuten, Turkiako indar armatuentzako irrati militar taktikoak eta defentsa-sistema elektronikoak ekoizten dituena. Anastasia Tikhonova, Group-IB Mehatxu Aurreratuen Ikerketa Taldeko Burua, eta Nikita Rostovtsev, Group-IB-ko analista juniorrak, ASELSAN A.Ε-en aurkako erasoaren nondik norakoak deskribatu eta parte hartzaile posible bat aurkitu zuen. MuddyWater.
Argiztapena Telegram bidez
Irango APT taldeen filtrazioa Lab Doukhtegan jakin batekin hasi zen sei APT34 tresnen iturburu-kodeek (OilRig eta HelixKitten alias), operazioetan parte hartzen duten IP helbideak eta domeinuak agerian utzi zituzten, baita hackerren 66 biktimei buruzko datuak ere, Etihad Airways eta Emirates National Oil barne. Lab Doookhteganek taldearen iraganeko eragiketei buruzko datuak eta ustez taldearen operazioekin erlazionatuta dauden Irango Informazio eta Segurtasun Nazionaleko Ministerioko langileei buruzko informazioa ere filtratu du. OilRig Iranekin lotutako APT talde bat da, 2014. urteaz geroztik existitzen dena eta gobernu, finantza eta militar erakundeak, baita Ekialde Hurbileko eta Txinako energia eta telekomunikazio enpresei ere zuzenduta dago.
OilRig agerian geratu ondoren, filtrazioek jarraitu zuten: Irango beste estatuaren aldeko talde baten jarduerei buruzko informazioa, MuddyWater, darknet-en eta Telegramen agertu zen. Hala ere, lehen filtrazioan ez bezala, oraingoan ez dira iturburu-kodeak argitaratu, zabortegiak baizik, iturburu-kodeen pantaila-argazkiak barne, kontrol-zerbitzariak, baita hackerren iraganeko biktimen IP helbideak ere. Oraingoan, Green Leakers hacker-ek hartu zuten MuddyWater-i buruzko filtrazioaren ardura. Telegrameko hainbat kanal eta darknet gune dituzte, non MuddyWater operazioekin lotutako datuak iragartzen eta saltzen dituzten.
Ekialde Hurbileko ziber-espioiak
MuddyWater 2017tik Ekialde Hurbilean aktibo dagoen taldea da. Esaterako, Group-IB adituek adierazi dutenez, 2019ko otsailetik apirilera, hackerrek phishing-maila batzuk egin zituzten Turkia, Iran, Afganistan, Irak eta Azerbaijango gobernu, hezkuntza erakunde, finantza, telekomunikazio eta defentsa enpresei zuzenduta.
Taldekideek PowerShell-en oinarritutako garapen propioaren atzeko atea erabiltzen dute, deitzen dena POWERSTATS. Ahal du:
- tokiko eta domeinu kontuei, erabilgarri dauden fitxategi-zerbitzariei, barneko eta kanpoko IP helbideei, izena eta OS arkitekturari buruzko datuak biltzea;
- urruneko kodearen exekuzioa egitea;
- fitxategiak igo eta deskargatu C&C bidez;
- Fitxategi gaiztoen azterketan erabiltzen diren arazketa-programen presentzia detektatu;
- itzali sistema maltzurren fitxategiak aztertzeko programak aurkitzen badira;
- fitxategiak ezabatu unitate lokaletatik;
- pantaila-argazkiak atera;
- desgaitu segurtasun neurriak Microsoft Office produktuetan.
Noizbait, erasotzaileek akats bat egin zuten eta ReaQtako ikertzaileek azken IP helbidea lortzea lortu zuten, Teheranen zegoena. Taldeak erasotako helburuak ikusita, baita ziberespioitzarekin lotutako helburuak ikusita, adituek iradoki dute taldeak Irango Gobernuaren interesak ordezkatzen dituela.
Eraso adierazleakC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
fitxategiak:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Turkia erasopean
10ko apirilaren 2019ean, IB Taldeko espezialistek Turkiako ASELSAN A.Ε konpainiaren posta helbideen filtrazioa aurkitu zuten, Turkiako elektronika militarraren alorreko enpresarik handiena. Bere produktuen artean, radarra eta elektronika, elektrooptika, aviΓ³nika, tripulaziorik gabeko sistemak, lurreko, itsasoko, armak eta aireko defentsa sistemak daude.
POWERSTATS malwarearen lagin berrietako bat aztertuta, Group-IB-ko adituek zehaztu zuten MuddyWater-eko erasotzaile taldeak amu gisa erabili zuela KoΓ§ Savunma, informazio eta defentsa teknologien alorrean irtenbideak ekoizten dituen enpresaren eta Tubitak Bilgem-en arteko lizentzia-hitzarmena. , informazioaren segurtasunaren ikerketa zentroa eta teknologia aurreratuak. KoΓ§ Savunmaren harremanetarako pertsona Tahir Taner TΔ±mΔ±Ε izan zen, KoΓ§ Bilgi ve Savunma Teknolojileri A.Ε-en Programen Kudeatzaile kargua zuena. 2013ko irailetik 2018ko abendura arte. Geroago ASELSAN A.Ε enpresan hasi zen lanean.
Decoy dokumentuaren adibidea
Erabiltzaileak makro gaiztoak aktibatu ondoren, POWERSTATS atzeko atea biktimaren ordenagailura deskargatzen da.
Deku dokumentu honen metadatuei esker (MD5: 0638adf8fb4095d60fbef190a759aa9e) ikertzaileek balio berdinak dituzten hiru lagin gehiago aurkitu ahal izan dituzte, sorkuntza-data eta ordua, erabiltzaile-izena eta jasotako makro zerrenda barne:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Zehaztapenak.doc (5c6148619abb10bb3789dcfb32f759a6)
Deku dokumentu ezberdinen metadatu berdinen pantaila-argazkia
Izena duen aurkitutako dokumentuetako bat ListOfHackedEmails.doc domeinuari dagozkion 34 helbide elektronikoen zerrenda dauka @aselsan.com.tr.
Talde-IBko espezialistek helbide elektronikoak egiaztatu zituzten publikoki eskuragarri dauden filtrazioetan eta aurkitu zuten horietako 28 arriskuan zeudela aurrez aurkitutako filtrazioetan. Eskuragarri dauden filtrazioen nahasketa egiaztatzean, domeinu honekin lotutako 400 saio-saio esklusibo inguru eta haien pasahitzak erakutsi ziren. Baliteke erasotzaileek publikoki eskuragarri dauden datu hauek erabiltzea ASELSAN A.Ε.
ListOfHackedEmails.doc dokumentuaren pantaila-argazkia
Filtrazio publikoetan detektatu diren 450 saio-pasahitz bikote baino gehiagoko zerrenda baten pantaila-argazkia
Aurkitutako laginen artean izenburua zuen dokumentu bat ere bazegoen F35-Zehaztapenak.doc, F-35 ehiza-hegazkinari erreferentzia eginez. Beita-dokumentua F-35 rol anitzeko bonbardaketa-hegazkinaren zehaztapena da, hegazkinaren ezaugarriak eta prezioa adieraziz. Decoy dokumentu honen gaia zuzenean lotzen da AEBek F-35ak hornitzeari ukoarekin, Turkiak S-400 sistemak erosi ostean eta F-35 Lightning II-ri buruzko informazioa Errusiara transferitzeko mehatxuarekin.
Jasotako datu guztiek adierazi zuten MuddyWater-en ziber-erasoen helburu nagusiak Turkian kokatutako erakundeak zirela.
Nor dira Gladiyator_CRK eta Nima Nikjoo?
Lehenago, 2019ko martxoan, Windows erabiltzaile batek Gladiyator_CRK goitizenarekin sortutako dokumentu gaiztoak aurkitu zituen. Dokumentu hauek POWERSTATS atzeko atea ere banatu zuten eta antzeko izena duen C&C zerbitzari batera konektatu ziren gladiyator[.]tk.
Baliteke hori Nima Nikjoo erabiltzaileak Twitter-en argitaratu ostean, 14ko martxoaren 2019an, MuddyWater-ekin lotutako kode lausotua deskodetu nahian. Txio honi egindako iruzkinetan, ikertzaileak esan zuen ezin zituela partekatu malware honen arrisku-adierazleak, informazio hori isilpekoa baita. Zoritxarrez, mezua ezabatu egin da dagoeneko, baina sarean jarraitzen dute haren aztarnak:
Nima Nikjoo Irango dideo.ir eta videoi.ir bideo-ostalaritza guneetako Gladiyator_CRK profilaren jabea da. Gune honetan, PoC ustiapenak erakusten ditu hainbat saltzailetako birusen aurkako tresnak desgaitzeko eta sandbox saihesteko. Nima Nikjook bere buruari buruz idazten du sareko segurtasun espezialista dela, baita alderantzizko ingeniaria eta malware analista ere, MTN Irancell, Irango telekomunikazio-enpresa batean lan egiten duena.
Google bilaketa-emaitzetan gordetako bideoen pantaila-argazkia:
Geroago, 19ko martxoaren 2019an, Nima Nikjoo erabiltzaileak Twitter sare sozialeko bere ezizena aldatu zuen Malware Fighter-era, eta erlazionatutako argitalpenak eta iruzkinak ere ezabatu zituen. Gladiyator_CRK-ren profila dideo.ir-eko bideoaren hostingean ere ezabatu egin zen, YouTuben gertatu zen bezala, eta profilari berari N Tabrizi izena jarri zioten. Hala ere, ia hilabete geroago (16ko apirilaren 2019an), Twitter kontua Nima Nikjoo izena erabiltzen hasi zen berriro.
Azterketan zehar, Talde-IBko espezialistek Nima Nikjoo dagoeneko aipatua izan zela aurkitu zuten ziberkriminal jarduerekin lotuta. 2014ko abuztuan, Iran Khabarestan blogak Irango Nasr Institute talde ziberkriminalarekin lotutako pertsonei buruzko informazioa argitaratu zuen. FireEye-ren ikerketa batek adierazi zuen Nasr Institute APT33-ren kontratista izan zela eta 2011 eta 2013 urteen artean AEBetako bankuen aurkako DDoS erasoetan ere parte hartu zuela, Ababil Operazioa izeneko kanpainaren barruan.
Beraz, blog berean, Nima Nikju-Nikjoo aipatzen zen, iraniarrak espiatzeko malwarea garatzen ari zena, eta bere helbide elektronikoa: gladiyator_cracker@yahoo[.]com.
Irango Nasr Institutuko ziberkriminalei egotzitako datuen pantaila-argazkia:
Nabarmendutako testuaren itzulpena errusierara: Nima Nikio - Spyware garatzailea - Posta elektronikoa:.
Informazio honetatik ikus daitekeenez, helbide elektronikoa erasoetan erabilitako helbidearekin eta Gladiyator_CRK eta Nima Nikjoo erabiltzaileekin lotuta dago.
Gainera, 15ko ekainaren 2017eko artikuluak zioen Nikjook axolagabe samarra izan zuela Kavosh Security Center-en erreferentziak bere curriculumean argitaratzean. Jan Kavosh Segurtasun Zentroa Irango estatuak onartzen duela gobernuaren aldeko hackerrak finantzatzeko.
Nima Nikjook lan egin zuen enpresari buruzko informazioa:
Nima Nikjoo Twitterreko erabiltzailearen LinkedIn profilak Kavosh Security Center gisa lan egin zuen lehen lekua ageri du, non 2006tik 2014ra bitartean lan egin zuen. Bere lanean zehar, hainbat malware aztertu zituen, eta alderantzizko eta ofuskapenarekin lotutako lanak ere jorratu zituen.
Nima Nikjook LinkedIn-en lan egin zuen enpresari buruzko informazioa:
MuddyWater eta autoestimu handia
Bitxia da MuddyWater taldeak haiei buruz argitaratutako informazio-segurtasuneko adituen txosten eta mezu guztiak arretaz kontrolatzen dituela, eta hasiera batean nahita ere bandera faltsuak utzi izana, ikertzaileak usainetik botatzeko. Esaterako, haien lehen erasoek adituak engainatu zituzten DNS Messenger-en erabilera detektatuz, normalean FIN7 taldearekin lotzen zena. Beste eraso batzuetan, txinatar kateak txertatu zituzten kodean.
Gainera, taldeari gustatzen zaio ikertzaileei mezuak uztea. Adibidez, ez zitzaien gustatu Kaspersky Lab-ek MuddyWater urteko mehatxuen balorazioan 3. postuan jartzea. Momentu berean, norbaitek - ustez MuddyWater taldeak - LK antibirusa desgaitzen duen ustiapen baten PoC bat igo zuen YouTubera. Artikuluaren azpian iruzkin bat ere utzi dute.
Kaspersky Lab antibirusa desgaitzeari buruzko bideoaren pantaila-argazkiak eta beheko iruzkina:
Oraindik zaila da "Nima Nikjoo"ren parte hartzeari buruzko ondorio argirik ateratzea. Talde-IBko adituak bi bertsio aztertzen ari dira. Nima Nikjoo, hain zuzen ere, MuddyWater taldeko hacker bat izan daiteke, bere arduragabekeriagatik eta sareko jarduera areagotuagatik agertu zena. Bigarren aukera, taldeko beste kideek nahita βagerraraziβ zutela da, susmoak eurengandik desbideratzeko. Edonola ere, Group-IBk bere ikerketekin jarraitzen du eta, zalantzarik gabe, bere emaitzen berri emango du.
Irango APTei dagokienez, filtrazio eta filtrazio batzuen ondoren, ziurrenik "debriefing" larri bati aurre egingo diote: hackerrak beren tresnak serio aldatzera behartuta egongo dira, haien arrastoak garbitzera eta "satorrak" posibleak aurkitzera behartuta egongo dira euren mailan. Adituek ez zuten baztertu denbora-muga bat ere hartuko zutenik, baina atsedenaldi labur baten ostean, Irango APTren erasoek jarraitu zuten berriro.
Iturria: www.habr.com