هکرهای ایرانی طرفدار دولت در دردسر بزرگی هستند. در طول بهار، افراد ناشناس "نشت های مخفی" را در تلگرام منتشر کردند - اطلاعاتی درباره گروه های APT مرتبط با دولت ایران - OilRig и آب گل آلود - ابزار، قربانیان، ارتباطات آنها. اما نه در مورد همه. در ماه آوریل، متخصصان Group-IB نشت آدرس های پستی شرکت ترکیه ای ASELSAN A.Ş را کشف کردند که رادیوهای نظامی تاکتیکی و سیستم های دفاع الکترونیکی برای نیروهای مسلح ترکیه تولید می کند. آناستازیا تیخونوا، رهبر تیم تحقیقاتی تهدید پیشرفته Group-IB و نیکیتا روستوفسف، تحلیلگر جوان در Group-IB، روند حمله به ASELSAN A.Ş را تشریح کرد و یک شرکت کننده احتمالی پیدا کرد. آب گل آلود.
نورپردازی از طریق تلگرام
نشت گروه های APT ایرانی از آنجایی شروع شد که فلان لب دختگان کدهای منبع شش ابزار APT34 (با نام مستعار OilRig و HelixKitten)، آدرسهای IP و دامنههای درگیر در این عملیات و همچنین دادههای مربوط به ۶۶ قربانی هکرها، از جمله خطوط هوایی اتحاد و نفت ملی امارات را نشان میدهد. لابراتوار دوختگان همچنین اطلاعات مربوط به عملیات گذشته این گروه و اطلاعات مربوط به کارمندان وزارت اطلاعات و امنیت ملی ایران را که گفته میشود با عملیات این گروه مرتبط هستند، فاش کرد. OilRig یک گروه APT مرتبط با ایران است که از حدود سال 66 وجود دارد و سازمان های دولتی، مالی و نظامی و همچنین شرکت های انرژی و مخابرات در خاورمیانه و چین را هدف قرار می دهد.
پس از افشای OilRig، نشت ها ادامه یافت - اطلاعاتی در تاریک نت و تلگرام در مورد فعالیت های یک گروه دیگر طرفدار دولت از ایران - MuddyWater ظاهر شد. با این حال، برخلاف اولین فاش، این بار این کدهای منبع منتشر نشدند، بلکه مواردی بود که شامل تصاویری از کدهای منبع، سرورهای کنترلی و همچنین آدرس های IP قربانیان قبلی هکرها بود. این بار هکرهای Green Leakers مسئولیت نشت در مورد MuddyWater را بر عهده گرفتند. آنها صاحب چندین کانال تلگرامی و سایت های دارک نت هستند که در آنها اطلاعات مربوط به عملیات MuddyWater را تبلیغ و می فروشند.
جاسوسان سایبری از خاورمیانه
آب گل آلود گروهی است که از سال 2017 در خاورمیانه فعال است. به عنوان مثال، همانطور که کارشناسان Group-IB اشاره می کنند، از فوریه تا آوریل 2019، هکرها یک سری پست های فیشینگ را با هدف دولت، سازمان های آموزشی، مالی، مخابراتی و شرکت های دفاعی در ترکیه، ایران، افغانستان، عراق و آذربایجان انجام دادند.
اعضای گروه از یک درب پشتی توسعه خود مبتنی بر PowerShell استفاده می کنند که نام دارد POWERSSTATS. او می تواند:
- جمع آوری داده ها در مورد حساب های محلی و دامنه، سرورهای فایل موجود، آدرس های IP داخلی و خارجی، نام و معماری سیستم عامل.
- اجرای کد از راه دور؛
- آپلود و دانلود فایل ها از طریق C&C.
- شناسایی وجود برنامه های اشکال زدایی مورد استفاده در تجزیه و تحلیل فایل های مخرب.
- در صورت یافتن برنامه هایی برای تجزیه و تحلیل فایل های مخرب، سیستم را خاموش کنید.
- حذف فایل ها از درایوهای محلی؛
- گرفتن اسکرین شات؛
- اقدامات امنیتی را در محصولات مایکروسافت آفیس غیرفعال کنید.
در مقطعی، مهاجمان مرتکب اشتباه شدند و محققان ReaQta موفق شدند آدرس IP نهایی را که در تهران واقع شده بود، بدست آورند. با توجه به اهداف مورد حمله این گروه و همچنین اهداف مربوط به جاسوسی سایبری، کارشناسان پیشنهاد کرده اند که این گروه نماینده منافع دولت ایران است.
نشانگرهای حملهC&C:
- گلادیاتور[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
پرونده ها:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
ترکیه در معرض حمله
در 10 آوریل 2019، متخصصان Group-IB نشت آدرس های پستی شرکت ترکیه ای ASELSAN A.Ş، بزرگترین شرکت در زمینه الکترونیک نظامی در ترکیه را کشف کردند. محصولات این شرکت شامل رادار و الکترونیک، الکترواپتیک، اویونیک، سامانه های بدون سرنشین، زمینی، دریایی، تسلیحات و سامانه های پدافند هوایی است.
با مطالعه یکی از نمونههای جدید بدافزار POWERSTATS، کارشناسان Group-IB به این نتیجه رسیدند که گروه مهاجمان MuddyWater از توافقنامه مجوز بین Koç Savunma، یک شرکت تولید کننده راهحل در زمینه فناوریهای اطلاعات و دفاعی، و Tubitak Bilgem به عنوان طعمه استفاده کردهاند. ، مرکز تحقیقات امنیت اطلاعات و فناوری های پیشرفته. شخص تماس با Koç Savunma Tahir Taner Tımış بود که سمت مدیر برنامه های Koç Bilgi ve Savunma Teknolojileri A.Ş. از سپتامبر 2013 تا دسامبر 2018. بعداً در ASELSAN A.Ş شروع به کار کرد.
نمونه سند فریب
پس از اینکه کاربر ماکروهای مخرب را فعال کرد، درب پشتی POWERSTATS در رایانه قربانی دانلود می شود.
با تشکر از ابرداده این سند فریب (MD5: 0638adf8fb4095d60fbef190a759aa9e) محققان توانستند سه نمونه اضافی حاوی مقادیر یکسان، از جمله تاریخ و زمان ایجاد، نام کاربری و لیستی از ماکروهای موجود را پیدا کنند:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
تصویری از ابردادههای یکسان اسناد فریبکاری مختلف
یکی از اسناد کشف شده با نام ListOfHackedEmails.doc حاوی لیستی از 34 آدرس ایمیل متعلق به دامنه است @aselsan.com.tr.
متخصصان Group-IB آدرسهای ایمیل را در نشتهای در دسترس عموم بررسی کردند و دریافتند که 28 مورد از آنها در نشتهایی که قبلاً کشف شده بود به خطر افتاده است. بررسی ترکیبی از نشت های موجود، حدود 400 لاگین منحصر به فرد مرتبط با این دامنه و رمزهای عبور آنها را نشان داد. این امکان وجود دارد که مهاجمان از این داده های در دسترس عموم برای حمله به ASELSAN A.Ş استفاده کرده باشند.
اسکرین شات از سند ListOfHackedEmails.doc
اسکرین شات از لیستی از بیش از 450 جفت ورود و رمز عبور شناسایی شده در افشای عمومی
در میان نمونه های کشف شده نیز سندی با عنوان وجود داشت F35-Specifications.docبا اشاره به جت جنگنده F-35. سند طعمه مشخصاتی برای جنگنده بمب افکن چند منظوره F-35 است که مشخصات و قیمت هواپیما را نشان می دهد. موضوع این سند فریب مستقیماً به امتناع آمریکا از عرضه F-35 پس از خرید سامانه های اس-400 توسط ترکیه و تهدید انتقال اطلاعات F-35 Lightning II به روسیه مربوط می شود.
تمام داده های دریافتی نشان می دهد که اهداف اصلی حملات سایبری MuddyWater سازمان هایی هستند که در ترکیه واقع شده اند.
Gladiyator_CRK و نیما نیکجو چه کسانی هستند؟
پیش از این، در مارس 2019، اسناد مخرب ایجاد شده توسط یکی از کاربران ویندوز با نام مستعار Gladiyator_CRK کشف شد. این اسناد همچنین درب پشتی POWERSTATS را توزیع کرده و به یک سرور C&C با نام مشابه متصل میشوند گلادیاتور[.]tk.
این ممکن است پس از انتشار پست کاربر نیما نیکجو در توییتر در تاریخ 14 مارس 2019 و تلاش برای رمزگشایی کد مبهم مرتبط با MuddyWater انجام شده باشد. در نظرات این توییت، محقق گفت که نمی تواند شاخص های سازش را برای این بدافزار به اشتراک بگذارد، زیرا این اطلاعات محرمانه است. متأسفانه پست قبلاً حذف شده است، اما آثاری از آن در فضای مجازی باقی مانده است:
نیما نیکجو صاحب پروفایل Gladiyator_CRK در سایت های میزبانی ویدیوی ایرانی dideo.ir و videoi.ir است. در این سایت، او اکسپلویت های PoC را برای غیرفعال کردن ابزارهای آنتی ویروس از فروشندگان مختلف و دور زدن جعبه های شنی نشان می دهد. نیما نیکجو درباره خود می نویسد که متخصص امنیت شبکه و همچنین مهندس معکوس و تحلیلگر بدافزار است که برای MTN ایرانسل، یک شرکت مخابراتی ایرانی کار می کند.
اسکرین شات ویدیوهای ذخیره شده در نتایج جستجوی گوگل:
بعداً در 19 اسفند 2019، کاربر نیما نیکجو در شبکه اجتماعی توییتر نام مستعار خود را به Malware Fighter تغییر داد و پست ها و نظرات مرتبط را نیز حذف کرد. پروفایل Gladiyator_CRK در میزبانی ویدیو dideo.ir نیز مانند یوتیوب حذف شد و خود پروفایل به N تبریزی تغییر نام داد. با این حال، تقریبا یک ماه بعد (۲۶ فروردین ۱۳۹۸)، حساب کاربری توییتر دوباره شروع به استفاده از نام نیما نیکجو کرد.
متخصصان Group-IB در حین بررسی متوجه شدند که نیما نیکجو قبلاً در ارتباط با فعالیت های مجرمانه سایبری ذکر شده است. وبلاگ ایران خبرستان در مرداد 2014 اطلاعاتی درباره افراد مرتبط با گروه مجرمان سایبری موسسه ایرانیان نصر منتشر کرد. یکی از تحقیقات FireEye بیان کرد که موسسه نصر پیمانکار APT33 بود و همچنین در حملات DDoS به بانکهای ایالات متحده بین سالهای 2011 تا 2013 به عنوان بخشی از کمپین به نام عملیات ابابیل شرکت داشت.
بنابراین در همین وبلاگ از نیما نیکجو نیکجو که در حال توسعه بدافزار برای جاسوسی از ایرانیان بود و آدرس ایمیل او: gladiyator_cracker@yahoo[.]com نام برده شد.
اسکرین شات داده های منتسب به مجرمان سایبری از موسسه نصر ایرانیان:
ترجمه متن برجسته شده به روسی: نیما نیکیو - توسعه دهنده جاسوس افزار - ایمیل:.
همانطور که از این اطلاعات مشخص است، آدرس ایمیل با آدرس استفاده شده در حملات و کاربران Gladiyator_CRK و نیما نیکجو مرتبط است.
علاوه بر این، در مقاله 15 ژوئن 2017 آمده است که نیکجو در درج ارجاعات به مرکز امنیتی کاوش در رزومه خود تا حدودی بی دقت بوده است. بخور مرکز امنیتی کاوش توسط دولت ایران برای تامین مالی هکرهای طرفدار دولت حمایت می شود.
اطلاعات شرکتی که نیما نیکجو در آن کار می کرد:
پروفایل لینکدین کاربر توییتر نیما نیکجو اولین محل استخدام او را به عنوان مرکز امنیتی کاوش که از سال 2006 تا 2014 در آن کار کرده است، ذکر کرده است. او در طول کار خود، بدافزارهای مختلف را مورد مطالعه قرار داد و همچنین با کارهای معکوس و مبهمسازی سروکار داشت.
اطلاعاتی درباره شرکتی که نیما نیکجو در لینکدین برای آن کار می کرد:
MuddyWater و عزت نفس بالا
جالب است که گروه MuddyWater با دقت تمام گزارشها و پیامهای کارشناسان امنیت اطلاعات منتشر شده در مورد آنها را رصد میکند و حتی در ابتدا عمداً پرچمهای دروغین را برای بیرون انداختن عطر محققان از خود به جای گذاشته است. به عنوان مثال، اولین حملات آنها با شناسایی استفاده از DNS Messenger، که معمولاً با گروه FIN7 مرتبط بود، کارشناسان را گمراه کرد. در حملات دیگر، رشته های چینی را در کد وارد کردند.
علاوه بر این، این گروه دوست دارد برای محققان پیام بگذارد. به عنوان مثال، آنها دوست نداشتند که آزمایشگاه کسپرسکی، MuddyWater را در رتبه سوم در رتبه بندی تهدیدات خود در سال قرار دهد. در همان لحظه، شخصی - احتمالاً گروه MuddyWater - یک PoC از یک سوء استفاده را در YouTube آپلود کرد که آنتی ویروس LK را غیرفعال می کند. زیر مقاله هم نظر گذاشتند.
اسکرین شات هایی از ویدیوی غیرفعال کردن آنتی ویروس کسپرسکی و توضیحات زیر:
نتیجه گیری بدون ابهام در مورد دخالت «نیما نیکجو» همچنان دشوار است. کارشناسان Group-IB در حال بررسی دو نسخه هستند. نیما نیکجو در واقع ممکن است هکری از گروه مادی واتر باشد که به دلیل سهل انگاری و افزایش فعالیت وی در این شبکه مشخص شد. گزینه دوم این است که او عمداً توسط سایر اعضای گروه "آشکار" شده است تا سوء ظن را از خود منحرف کنند. در هر صورت Group-IB به تحقیقات خود ادامه می دهد و قطعا نتایج آن را گزارش خواهد کرد.
در مورد APTهای ایرانی، پس از یک سری نشت و افشای اطلاعات، احتمالاً با یک "توضیحات" جدی مواجه خواهند شد - هکرها مجبور خواهند شد ابزارهای خود را به طور جدی تغییر دهند، مسیرهای خود را تمیز کنند و "خال" های احتمالی را در صفوف خود پیدا کنند. کارشناسان حتی احتمال تایم اوت را هم رد نکردند، اما پس از وقفه ای کوتاه، حملات APT ایران دوباره ادامه یافت.
منبع: www.habr.com