Iraanske pro-regear hackers binne yn grutte problemen. Yn 'e rin fan' e maitiid publisearren ûnbekende minsken "geheime lekken" op Telegram - ynformaasje oer APT-groepen ferbûn mei de Iraanske regearing - Boareilân и Smoarch wetter - harren ark, slachtoffers, ferbinings. Mar net oer elkenien. Yn april ûntdutsen Group-IB-spesjalisten in lek fan postadressen fan 'e Turkske korporaasje ASELSAN A.Ş, dy't taktyske militêre radio's en elektroanyske ferdigeningssystemen produsearret foar de Turkske leger. Anastasia Tikhonova, Group-IB Advanced Threat Research Team Leader, en Nikita Rostovtsev, junior analist by Group-IB, beskreau de rin fan 'e oanfal op ASELSAN A.Ş en fûn in mooglike dielnimmer Smoarch wetter.
Ferljochting fia Telegram
It lek fan Iraanske APT groepen begûn mei it feit dat in bepaalde Lab Doukhtegan de boarne koades fan seis APT34 ark (aka OilRig en HelixKitten), iepenbiere de IP adressen en domeinen belutsen by de operaasjes, likegoed as gegevens oer 66 slachtoffers fan hackers, ynklusyf Etihad Airways en Emirates National Oil. Lab Doookhtegan lekt ek gegevens oer de eardere operaasjes fan 'e groep en ynformaasje oer meiwurkers fan it Iraanske ministearje fan ynformaasje en nasjonale feiligens dy't nei alle gedachten ferbûn binne mei de operaasjes fan' e groep. OilRig is in Iran-keppele APT-groep dy't bestiet sûnt om 2014 en rjochtet him op oerheid, finansjele en militêre organisaasjes, lykas enerzjy- en telekommunikaasjebedriuwen yn it Midden-Easten en Sina.
Nei't OilRig waard bleatsteld, gie de lekken troch - ynformaasje oer de aktiviteiten fan in oare pro-steatgroep út Iran, MuddyWater, ferskynde op it tsjusternet en op Telegram. Lykwols, yn tsjinstelling ta it earste lek, dizze kear wiene it net de boarne koades dy't waarden publisearre, mar dumps, ynklusyf screenshots fan de boarne koades, kontrôle tsjinners, likegoed as de IP-adressen fan ferline slachtoffers fan hackers. Dizze kear namen Green Leakers-hackers ferantwurdlikens foar it lek oer MuddyWater. Se besitte ferskate Telegram-kanalen en darknet-sites wêr't se gegevens advertearje en ferkeapje yn ferbân mei MuddyWater-operaasjes.
Cyberspionnen út it Midden-Easten
Smoarch wetter is in groep dy't sûnt 2017 aktyf is yn it Midden-Easten. Bygelyks, lykas Group-IB-saakkundigen opmerke, hawwe hackers fan febrewaris oant april 2019 in searje phishing-mailings útfierd dy't rjochte binne op regearing, edukative organisaasjes, finansjele, telekommunikaasje en definsjebedriuwen yn Turkije, Iran, Afganistan, Irak en Azerbeidzjan.
De groepsleden brûke in efterdoar fan har eigen ûntwikkeling basearre op PowerShell, dat hjit POWERSTATS. Hy kin:
- sammelje gegevens oer lokale en domein akkounts, beskikbere triem tsjinners, ynterne en eksterne IP adressen, namme en OS arsjitektuer;
- útfiere koade op ôfstân;
- upload en download triemmen fia C & C;
- detect de oanwêzigens fan debuggen programma brûkt yn de analyze fan kweade triemmen;
- it systeem ôfslute as programma's foar it analysearjen fan kweade triemmen fûn wurde;
- bestannen wiskje fan lokale skiven;
- nim skermôfbyldings;
- útskeakelje feiligensmaatregels yn Microsoft Office-produkten.
Op in stuit makken de oanfallers in flater en ûndersikers fan ReaQta wisten it definitive IP-adres te krijen, dat yn Teheran lei. Sjoen de doelen oanfallen troch de groep, lykas har doelen yn ferbân mei cyber-spionaazje, hawwe saakkundigen suggerearre dat de groep de belangen fan 'e Iraanske regearing fertsjintwurdiget.
Oanfal yndikatoarenC&C:
- gladyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Bestannen:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye ûnder oanfal
Op 10 april 2019 ûntdutsen Group-IB-spesjalisten in lek fan postadressen fan it Turkske bedriuw ASELSAN A.Ş, it grutste bedriuw op it mêd fan militêre elektroanika yn Turkije. Har produkten omfetsje radar en elektroanika, elektro-optika, avionika, ûnbemanne systemen, lân, marine, wapens en luchtferdigeningssystemen.
Troch ien fan 'e nije samples fan' e POWERSTATS-malware te studearjen, bepaalde Group-IB-saakkundigen dat de MuddyWater-groep fan oanfallers as aasdokumint in lisinsjeoerienkomst brûkte tusken Koç Savunma, in bedriuw dat oplossingen produseart op it mêd fan ynformaasje- en definsjetechnologyen, en Tubitak Bilgem , in ûndersykssintrum foar ynformaasjefeiligens en avansearre technologyen. De kontaktpersoan foar Koç Savunma wie Tahir Taner Tımış, dy't de posysje fan Programs Manager hie by Koç Bilgi ve Savunma Teknolojileri A.Ş. fan septimber 2013 oant desimber 2018. Letter begûn er te wurkjen by ASELSAN A.Ş.
Sample decoy dokumint
Nei't de brûker kweade makro's aktivearret, wurdt de POWERSTATS-efterdoar ynladen nei de kompjûter fan it slachtoffer.
Mei tank oan de metadata fan dit lokdokumint (MD5: 0638adf8fb4095d60fbef190a759aa9e) ûndersikers koene trije ekstra samples fine mei identike wearden, ynklusyf de skeppingsdatum en tiid, brûkersnamme, en in list mei makro's befette:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Skermprint fan identike metadata fan ferskate lokdokuminten
Ien fan de ûntdutsen dokuminten mei de namme ListOfHackedEmails.doc befettet in list fan 34 e-mailadressen dy't ta it domein hearre @aselsan.com.tr.
Group-IB-spesjalisten kontrolearren e-mailadressen yn iepenbier beskikbere lekken en fûnen dat 28 fan harren waarden kompromittearre yn earder ûntdutsen lekken. It kontrolearjen fan 'e miks fan beskikbere lekkages toande sawat 400 unike oanmeldingen ferbûn mei dit domein en wachtwurden foar har. It is mooglik dat oanfallers dizze iepenbier beskikbere gegevens brûkten om ASELSAN A.Ş oan te fallen.
Skermprint fan it dokumint ListOfHackedEmails.doc
Skermôfbylding fan in list mei mear dan 450 ûntdutsen oanmeld-wachtwurd-pearen yn iepenbiere lekken
Under de ûntdutsen samples wie ek in dokumint mei de titel F35-Spesifikaasjes.doc, ferwizend nei de F-35 jachtfleanmasine. It aasdokumint is in spesifikaasje foar de F-35 multi-rol jachtbommenwerper, dy't de skaaimerken en priis fan it fleantúch oanjout. It ûnderwerp fan dit lokdokumint hat direkt te krijen mei de wegering fan 'e FS om F-35's te leverjen nei de oankeap fan Turkije fan' e S-400-systemen en de bedriging fan it oerdragen fan ynformaasje oer de F-35 Lightning II nei Ruslân.
Alle ûntfongen gegevens jouwe oan dat de wichtichste doelen fan MuddyWater-cyberoanfallen organisaasjes wiene yn Turkije.
Wa binne Gladiyator_CRK en Nima Nikjoo?
Earder, yn maart 2019, waarden kweade dokuminten ûntdutsen makke troch ien Windows-brûker ûnder de bynamme Gladiyator_CRK. Dizze dokuminten ferspraat ek de POWERSTATS efterdoar en ferbûn mei in C&C-tsjinner mei in ferlykbere namme gladyator[.]tk.
Dit kin dien wêze neidat brûker Nima Nikjoo op 14 maart 2019 op Twitter pleatste, besykje te ûntsiferjen obfuscated koade ferbûn mei MuddyWater. Yn 'e opmerkingen op dizze tweet sei de ûndersiker dat hy gjin yndikatoaren fan kompromis diele koe foar dizze malware, om't dizze ynformaasje fertroulik is. Spitigernôch is de post al wiske, mar spoaren dêrfan bliuwe online:
Nima Nikjoo is de eigner fan it Gladiyator_CRK-profyl op 'e Iraanske fideohostingsites dideo.ir en videoi.ir. Op dizze side toant hy PoC-exploitaasjes om antivirus-ark fan ferskate leveransiers út te skeakeljen en sânbakken te omgean. Nima Nikjoo skriuwt oer himsels dat hy in spesjalist foar netwurkfeiligens is, en ek in reverse-yngenieur en malware-analist dy't wurket foar MTN Irancell, in Iraansk telekommunikaasjebedriuw.
Skermôfbylding fan bewarre fideo's yn Google sykresultaten:
Letter, op 19 maart 2019, feroare brûker Nima Nikjoo op it sosjale netwurk Twitter syn bynamme yn Malware Fighter, en wiske ek relatearre berjochten en opmerkings. It profyl fan Gladiyator_CRK op 'e fideo-hosting dideo.ir waard ek wiske, lykas it gefal wie op YouTube, en it profyl sels waard omneamd ta N Tabrizi. Hast in moanne letter (16 april 2019) begon it Twitter-akkount lykwols wer de namme Nima Nikjoo te brûken.
Tidens it ûndersyk ûntdutsen Group-IB-spesjalisten dat Nima Nikjoo al neamd waard yn ferbân mei cyberkriminele aktiviteiten. Yn augustus 2014 publisearre it Iran Khabarestan-blog ynformaasje oer persoanen dy't ferbûn binne mei de cyberkriminele groep Iranian Nasr Institute. Ien FireEye-ûndersyk stelde dat Nasr Institute in oannimmer wie foar APT33 en wie ek belutsen by DDoS-oanfallen op Amerikaanske banken tusken 2011 en 2013 as ûnderdiel fan in kampanje neamd Operation Ababil.
Dus yn itselde blog waard Nima Nikju-Nikjoo neamd, dy't malware ûntwikkele om Iraniërs te spionearjen, en syn e-postadres: gladiyator_cracker@yahoo[.]com.
Skermôfbylding fan gegevens taskreaun oan cyberkriminelen fan it Iraanske Nasr Institute:
Oersetting fan de markearre tekst yn it Russysk: Nima Nikio - Spyware Developer - E-post:.
As kin sjoen wurde út dizze ynformaasje, it e-mailadres is ferbûn mei it adres brûkt yn de oanfallen en de brûkers Gladiyator_CRK en Nima Nikjoo.
Derneist stelde it artikel fan 15 juny 2017 dat Nikjoo wat foarsichtich wie by it pleatsen fan ferwizings nei Kavosh Security Center op syn cv. Ite dat it Kavosh Security Center wurdt stipe troch de Iraanske steat om pro-regearing hackers te finansieren.
Ynformaasje oer it bedriuw dêr't Nima Nikjoo wurke:
Twitter-brûker Nima Nikjoo's LinkedIn profyl listet syn earste wurkplak as Kavosh Security Center, wêr't hy wurke fan 2006 oant 2014. Tidens syn wurk studearre er ferskate malware, en hie er ek dwaande mei omkearde en obfuscation-relatearre wurk.
Ynformaasje oer it bedriuw Nima Nikjoo wurke foar op LinkedIn:
MuddyWater en heech selsbyld
It is nijsgjirrich dat de MuddyWater-groep alle rapporten en berjochten fan saakkundigen fan ynformaasjefeiligens dy't oer har publisearre binne, soarchfâldich kontrolearret en sels earst mei opsetsin falske flaggen efterlitte om ûndersikers fan 'e geur te smiten. Bygelyks, har earste oanfallen misleiden saakkundigen troch it opspoaren fan it gebrûk fan DNS Messenger, dy't gewoanlik ferbûn wie mei de FIN7-groep. By oare oanfallen ynfoege se Sineeske snaren yn 'e koade.
Dêrneist hâldt de groep graach berjochten foar ûndersikers. Bygelyks, se fûnen it net leuk dat Kaspersky Lab MuddyWater op it 3e plak pleatste yn har bedrigingswurdearring foar it jier. Op itselde momint uploade ien - nei alle gedachten de MuddyWater-groep - in PoC fan in eksploitaasje op YouTube dy't it LK-antivirus útskeakele. Se hawwe ek in reaksje efterlitten ûnder it artikel.
Skermôfbyldings fan 'e fideo oer it útskeakeljen fan Kaspersky Lab-antivirus en it kommentaar hjirûnder:
It is noch altyd lestich om in ûndûbelsinnige konklúzje te meitsjen oer de belutsenens fan "Nima Nikjoo". Group-IB saakkundigen beskôgje twa ferzjes. Nima Nikjoo, yndie, kin in hacker wêze fan 'e MuddyWater-groep, dy't oan it ljocht kaam troch syn negligens en ferhege aktiviteit op it netwurk. De twadde opsje is dat hy bewust "bleatsteld" waard troch oare leden fan 'e groep om fertinking fan harsels ôf te lieden. Yn alle gefallen giet Group-IB har ûndersyk troch en sil har resultaten definityf rapportearje.
Wat Iraanske APT's oangiet, sille se nei in searje lekken en lekken wierskynlik in serieuze "debriefing" krije - hackers sille twongen wurde om har ark serieus te feroarjen, har spoaren op te romjen en mooglike "mollen" yn har rigen te finen. Saakkundigen slúten net út dat se sels in time-out nimme soene, mar nei in koarte pauze giene de Iraanske APT-oanfallen wer troch.
Boarne: www.habr.com