Les pirates informatiques pro-gouvernementaux iraniens sont en grande difficulté. Tout au long du printemps, des inconnus ont publié des « fuites secrètes » sur Telegram - des informations sur les groupes APT associés au gouvernement iranien - Plate-forme pétrolière и Eau boueuse — leurs outils, leurs victimes, leurs connexions. Mais pas pour tout le monde. En avril, les spécialistes du Groupe-IB ont découvert une fuite des adresses postales de la société turque ASELSAN A.Ş, qui produit des radios militaires tactiques et des systèmes de défense électronique pour les forces armées turques. Anastasia Tikhonova, chef d'équipe de recherche avancée sur les menaces du Groupe-IB, et Nikita Rostovtsev, analyste junior du Groupe-IB, a décrit le déroulement de l'attaque contre ASELSAN A.Ş et a trouvé un participant possible Eau boueuse.
Éclairage via Telegram
La fuite des groupes iraniens de l'APT a commencé avec le fait qu'un certain Lab Doukhtegan les codes sources de six outils APT34 (alias OilRig et HelixKitten), ont révélé les adresses IP et les domaines impliqués dans les opérations, ainsi que des données sur 66 victimes de pirates informatiques, dont Etihad Airways et Emirates National Oil. Lab Doookhtegan a également divulgué des données sur les opérations passées du groupe et des informations sur les employés du ministère iranien de l’Information et de la Sécurité nationale qui seraient associés aux opérations du groupe. OilRig est un groupe APT lié à l'Iran qui existe depuis 2014 environ et cible les organisations gouvernementales, financières et militaires, ainsi que les entreprises du secteur de l'énergie et des télécommunications au Moyen-Orient et en Chine.
Après la révélation d'OilRig, les fuites se sont poursuivies : des informations sur les activités d'un autre groupe pro-étatique iranien, MuddyWater, sont apparues sur le darknet et sur Telegram. Cependant, contrairement à la première fuite, cette fois, ce ne sont pas les codes sources qui ont été publiés, mais des dumps, comprenant des captures d'écran des codes sources, des serveurs de contrôle, ainsi que les adresses IP des anciennes victimes de pirates. Cette fois, les hackers des Green Leakers ont assumé la responsabilité de la fuite concernant MuddyWater. Ils possèdent plusieurs chaînes Telegram et sites darknet sur lesquels ils font de la publicité et vendent des données liées aux opérations de MuddyWater.
Cyber espions du Moyen-Orient
Eau boueuse est un groupe actif depuis 2017 au Moyen-Orient. Par exemple, comme le notent les experts du Groupe-IB, de février à avril 2019, des pirates ont lancé une série d'envois de phishing visant le gouvernement, des organisations éducatives, des entreprises financières, de télécommunications et de défense en Turquie, en Iran, en Afghanistan, en Irak et en Azerbaïdjan.
Les membres du groupe utilisent une porte dérobée de leur propre développement basée sur PowerShell, appelée STATISTIQUES DE PUISSANCE. Il peut:
- collecter des données sur les comptes locaux et de domaine, les serveurs de fichiers disponibles, les adresses IP internes et externes, le nom et l'architecture du système d'exploitation ;
- effectuer l'exécution de code à distance ;
- télécharger et télécharger des fichiers via C&C ;
- détecter la présence de programmes de débogage utilisés dans l'analyse de fichiers malveillants ;
- arrêtez le système si des programmes d'analyse de fichiers malveillants sont trouvés ;
- supprimer des fichiers des disques locaux ;
- prendre des captures d'écran ;
- désactiver les mesures de sécurité dans les produits Microsoft Office.
À un moment donné, les attaquants ont commis une erreur et les chercheurs de ReaQta ont réussi à obtenir l'adresse IP finale, située à Téhéran. Compte tenu des cibles attaquées par le groupe, ainsi que de ses objectifs liés au cyberespionnage, les experts ont suggéré que le groupe représente les intérêts du gouvernement iranien.
Indicateurs d'attaqueC&C :
- gladiateur[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Fichiers:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
La Turquie attaquée
Le 10 avril 2019, les spécialistes du Groupe-IB ont découvert une fuite des adresses postales de la société turque ASELSAN A.Ş, la plus grande entreprise dans le domaine de l'électronique militaire en Turquie. Ses produits comprennent les radars et l'électronique, l'électro-optique, l'avionique, les systèmes sans pilote, les systèmes terrestres, navals, d'armes et de défense aérienne.
En étudiant l'un des nouveaux échantillons du malware POWERSTATS, les experts du Groupe-IB ont déterminé que le groupe d'attaquants MuddyWater a utilisé comme appât un document sur un accord de licence entre Koç Savunma, une société produisant des solutions dans le domaine des technologies de l'information et de la défense, et Tubitak Bilgem. , un centre de recherche sur la sécurité de l'information et les technologies avancées. La personne de contact pour Koç Savunma était Tahir Taner Tımış, qui occupait le poste de responsable des programmes chez Koç Bilgi ve Savunma Teknolojileri A.Ş. de septembre 2013 à décembre 2018. Plus tard, il a commencé à travailler chez ASELSAN A.Ş.
Exemple de document leurre
Une fois que l’utilisateur a activé des macros malveillantes, la porte dérobée POWERSTATS est téléchargée sur l’ordinateur de la victime.
Grâce aux métadonnées de ce document leurre (MD5 : 0638adf8fb4095d60fbef190a759aa9e), les chercheurs ont pu trouver trois échantillons supplémentaires contenant des valeurs identiques, notamment la date et l'heure de création, le nom d'utilisateur et une liste de macros contenues :
- ListeOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Spécifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Capture d'écran de métadonnées identiques de divers documents leurres
L'un des documents découverts portant le nom ListOfHackedEmails.doc contient une liste de 34 adresses email appartenant au domaine @aselsan.com.tr.
Les spécialistes du Groupe IB ont vérifié les adresses e-mail dans les fuites accessibles au public et ont découvert que 28 d'entre elles avaient été compromises dans des fuites précédemment découvertes. La vérification de la combinaison de fuites disponibles a montré environ 400 connexions uniques associées à ce domaine et leurs mots de passe. Il est possible que des attaquants aient utilisé ces données accessibles au public pour attaquer ASELSAN A.Ş.
Capture d'écran du document ListOfHackedEmails.doc
Capture d'écran d'une liste de plus de 450 paires login-mot de passe détectées dans des fuites publiques
Parmi les échantillons découverts, il y avait également un document intitulé F35-Spécifications.doc, faisant référence au chasseur F-35. Le document d'appât est une spécification du chasseur-bombardier multirôle F-35, indiquant les caractéristiques et le prix de l'avion. Le sujet de ce document leurre est directement lié au refus américain de fournir des F-35 après l'achat par la Turquie des systèmes S-400 et à la menace de transfert d'informations sur le F-35 Lightning II à la Russie.
Toutes les données reçues indiquent que les principales cibles des cyberattaques MuddyWater étaient des organisations situées en Turquie.
Qui sont Gladiyator_CRK et Nima Nikjoo ?
Plus tôt, en mars 2019, des documents malveillants créés par un utilisateur Windows sous le pseudo Gladiyator_CRK avaient été découverts. Ces documents distribuaient également la porte dérobée POWERSTATS et se connectaient à un serveur C&C portant un nom similaire. gladiateur[.]tk.
Cela a peut-être été fait après que l'utilisateur Nima Nikjoo a posté sur Twitter le 14 mars 2019, tentant de décoder le code obscurci associé à MuddyWater. Dans les commentaires de ce tweet, le chercheur a déclaré qu'il ne pouvait pas partager d'indicateurs de compromission pour ce malware, car ces informations sont confidentielles. Malheureusement, le message a déjà été supprimé, mais des traces en restent en ligne :
Nima Nikjoo est la propriétaire du profil Gladiyator_CRK sur les sites d'hébergement de vidéos iraniens dideo.ir et videoi.ir. Sur ce site, il démontre les exploits PoC pour désactiver les outils antivirus de divers fournisseurs et contourner les bacs à sable. Nima Nikjoo écrit sur lui-même qu'il est un spécialiste de la sécurité des réseaux, ainsi qu'un analyste d'ingénierie inverse et de logiciels malveillants qui travaille pour MTN Irancell, une société de télécommunications iranienne.
Capture d'écran des vidéos enregistrées dans les résultats de recherche Google :
Plus tard, le 19 mars 2019, l'utilisateur Nima Nikjoo du réseau social Twitter a changé son surnom pour Malware Fighter et a également supprimé les publications et commentaires associés. Le profil de Gladiyator_CRK sur l'hébergeur vidéo dideo.ir a également été supprimé, tout comme sur YouTube, et le profil lui-même a été renommé N Tabrizi. Cependant, près d’un mois plus tard (le 16 avril 2019), le compte Twitter a recommencé à utiliser le nom de Nima Nikjoo.
Au cours de l'étude, les spécialistes du Groupe-IB ont découvert que Nima Nikjoo avait déjà été mentionnée en relation avec des activités cybercriminelles. En août 2014, le blog Iran Khabarestan a publié des informations sur des individus associés au groupe cybercriminel Iranien Nasr Institute. Une enquête FireEye a révélé que le Nasr Institute était un sous-traitant d'APT33 et qu'il était également impliqué dans des attaques DDoS contre des banques américaines entre 2011 et 2013 dans le cadre d'une campagne appelée Opération Ababil.
Ainsi, dans le même blog, il a été mentionné Nima Nikju-Nikjoo, qui développait un malware pour espionner les Iraniens, et son adresse e-mail : gladiyator_cracker@yahoo[.]com.
Capture d'écran des données attribuées aux cybercriminels de l'Institut iranien Nasr :
Traduction du texte surligné en russe : Nima Nikio - Développeur de logiciels espions - E-mail :.
Comme le montrent ces informations, l'adresse e-mail est associée à l'adresse utilisée dans les attaques et aux utilisateurs Gladiyator_CRK et Nima Nikjoo.
De plus, l'article du 15 juin 2017 indiquait que Nikjoo avait été quelque peu négligent en publiant des références au Kavosh Security Center sur son CV. Manger que le centre de sécurité Kavosh est soutenu par l'État iranien pour financer des hackers pro-gouvernementaux.
Informations sur l'entreprise où travaillait Nima Nikjoo :
Le profil LinkedIn de l'utilisateur de Twitter Nima Nikjoo indique que son premier lieu de travail est Kavosh Security Center, où il a travaillé de 2006 à 2014. Au cours de son travail, il a étudié divers logiciels malveillants et s'est également occupé de travaux liés à l'inversion et à l'obscurcissement.
Informations sur l'entreprise pour laquelle Nima Nikjoo a travaillé sur LinkedIn :
MuddyWater et haute estime de soi
Il est curieux que le groupe MuddyWater surveille attentivement tous les rapports et messages d'experts en sécurité de l'information publiés à leur sujet, et ait même délibérément laissé de faux signaux au début afin de dérouter les chercheurs. Par exemple, leurs premières attaques ont trompé les experts en détectant l’utilisation de DNS Messenger, communément associé au groupe FIN7. Dans d’autres attaques, ils ont inséré des chaînes chinoises dans le code.
De plus, le groupe adore laisser des messages aux chercheurs. Par exemple, ils n’ont pas apprécié que Kaspersky Lab ait placé MuddyWater à la 3e place dans son classement des menaces pour l’année. Au même moment, quelqu'un - vraisemblablement le groupe MuddyWater - a mis en ligne sur YouTube un PoC d'un exploit qui désactive l'antivirus LK. Ils ont également laissé un commentaire sous l'article.
Captures d'écran de la vidéo sur la désactivation de l'antivirus Kaspersky Lab et commentaire ci-dessous :
Il est encore difficile de tirer une conclusion sans ambiguïté sur l’implication de « Nima Nikjoo ». Les experts du Groupe-IB envisagent deux versions. Nima Nikjoo, en effet, pourrait être un hacker du groupe MuddyWater, révélé en raison de sa négligence et de son activité accrue sur le réseau. La deuxième option est qu'il a été délibérément « exposé » par d'autres membres du groupe afin de détourner les soupçons d'eux-mêmes. Dans tous les cas, Group-IB poursuit ses recherches et rendra certainement compte de ses résultats.
Quant aux APT iraniens, après une série de fuites et de fuites, ils seront probablement confrontés à un sérieux « débriefing » - les hackers seront obligés de modifier sérieusement leurs outils, de nettoyer leurs traces et de trouver d'éventuelles « taupes » dans leurs rangs. Les experts n'ont pas exclu qu'ils prennent même un temps mort, mais après une courte pause, les attaques iraniennes de l'APT ont repris.
Source: habr.com