Tha luchd-hackers pro-riaghaltas Ioran ann an trioblaid mhòr. Tron earrach, dh’ fhoillsich daoine neo-aithnichte “aodion dìomhair” air Telegram - fiosrachadh mu bhuidhnean APT co-cheangailte ri riaghaltas Ioran - OilRig и Uisge Mhathaidh - na h-innealan aca, luchd-fulaing, ceanglaichean. Ach chan ann mu dheidhinn a h-uile duine. Anns a’ Ghiblean, lorg eòlaichean Group-IB aodion de sheòlaidhean puist na buidhne corporra Turcach ASELSAN A.Ş, a bhios a’ toirt a-mach rèidiothan armachd innleachdach agus siostaman dìon dealanach airson feachdan armaichte na Tuirc. Anastasia Tikhonova, Buidheann-IB Ceannard Sgioba Rannsachaidh Cunnart Adhartach, agus Nikita Rostovtsev saor an asgaidh, anailisiche òg aig Group-IB, cunntas air cùrsa an ionnsaigh air ASELSAN A.Ş agus lorg e com-pàirtiche comasach Uisge Mhathaidh.
Soillseachadh tro Telegram
Thòisich an aodion de bhuidhnean APT à Ioran leis an fhìrinn gu robh Lab Doukhtegan sònraichte nochd còdan stòr sia innealan APT34 (aka OilRig agus HelixKitten), na seòlaidhean IP agus na raointean a bha an sàs anns an obair, a bharrachd air dàta mu 66 luchd-fulaing luchd-hackers, a’ gabhail a-steach Etihad Airways agus Emirates National Oil. Leig Lab Doookhtegan cuideachd a-mach dàta mu obair na buidhne san àm a dh'fhalbh agus fiosrachadh mu luchd-obrach Ministreachd Fiosrachaidh is Tèarainteachd Nàiseanta Ioran a thathas ag ràdh a tha co-cheangailte ri gnìomhachd na buidhne. Tha OilRig na bhuidheann APT ceangailte ri Ioran a tha air a bhith ann bho timcheall air 2014 agus a tha ag amas air buidhnean riaghaltais, ionmhais agus armachd, a bharrachd air companaidhean lùtha is cian-chonaltraidh anns an Ear Mheadhanach agus Sìona.
Às deidh dha OilRig a bhith fosgailte, lean na h-aodion - nochd fiosrachadh mu ghnìomhachd buidheann pro-stàite eile à Ioran, MuddyWater, air an darknet agus air Telegram. Ach, eu-coltach ris a’ chiad aodion, an turas seo cha b’ e na còdan stòr a chaidh fhoillseachadh, ach dumps, a’ toirt a-steach seallaidhean-sgrìn de na còdan stòr, frithealaichean smachd, a bharrachd air seòlaidhean IP luchd-fulaing luchd-hackers. An turas seo, ghabh luchd-tarraing Green Leakers uallach airson an aodion mu MuddyWater. Tha sealbh aca air grunn shianalan Telegram agus làraich darknet far am bi iad a’ sanasachadh agus a’ reic dàta co-cheangailte ri gnìomhachd MuddyWater.
Luchd-brathaidh saidhbear bhon Ear Mheadhanach
Uisge Mhathaidh na bhuidheann a tha air a bhith gnìomhach bho 2017 anns an Ear Mheadhanach. Mar eisimpleir, mar a tha eòlaichean Buidheann-IB a’ toirt fa-near, bhon Ghearran chun Giblean 2019, rinn luchd-hackers sreath de phuist fiasgaich ag amas air an riaghaltas, buidhnean foghlaim, companaidhean ionmhais, cian-chonaltraidh agus dìon anns an Tuirc, Iran, Afganastan, Iorac agus Azerbaijan.
Bidh buill na buidhne a 'cleachdadh cùl-raon den leasachadh aca fhèin stèidhichte air PowerShell, ris an canar CUMHACHD. Faodaidh e:
- cruinnich dàta mu chunntasan ionadail agus fearainn, frithealaichean faidhle a tha rim faighinn, seòlaidhean IP a-staigh agus a-muigh, ainm agus ailtireachd OS;
- cuir an gnìomh còd iomallach;
- luchdaich suas agus luchdaich sìos faidhlichean tro C&C;
- lorg làthaireachd phrògraman debugging a thathas a’ cleachdadh ann a bhith a’ sgrùdadh fhaidhlichean droch-rùnach;
- dùin an siostam ma lorgar prògraman airson mion-sgrùdadh fhaidhlichean droch-rùnach;
- cuir às do fhaidhlichean bho dhràibhearan ionadail;
- gabh seallaidhean-sgrìn;
- cuir à comas ceumannan tèarainteachd ann am bathar Microsoft Office.
Aig àm air choreigin, rinn an luchd-ionnsaigh mearachd agus chaidh aig luchd-rannsachaidh bho ReaQta air an seòladh IP deireannach fhaighinn, a bha stèidhichte ann an Tehran. Leis na targaidean air an tug a’ bhuidheann ionnsaigh, a bharrachd air na h-amasan aca co-cheangailte ri brathadh saidhbear, tha eòlaichean air moladh gum bi a’ bhuidheann a’ riochdachadh ùidhean riaghaltas Ioran.
Comharran ionnsaighC&C:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Faidhlichean:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Tuirc fo ionnsaigh
Air 10 Giblean, 2019, lorg eòlaichean Group-IB aodion de sheòlaidhean puist na companaidh Turcach ASELSAN A.Ş, a’ chompanaidh as motha ann an raon electronics armachd anns an Tuirc. Tha na toraidhean aige a’ toirt a-steach radar agus eileagtronaigeach, electro-optics, avionics, siostaman gun luchd-obrach, fearann, cabhlaich, buill-airm agus siostaman dìon adhair.
A’ sgrùdadh aon de na sampallan ùra de malware POWERSTATS, cho-dhùin eòlaichean Group-IB gum biodh am buidheann luchd-ionnsaigh MuddyWater a chleachdar mar bhiadhadh a’ clàradh aonta cead eadar Koç Savunma, companaidh a tha a’ dèanamh fhuasglaidhean ann an raon teicneòlasan fiosrachaidh is dìon, agus Tubitak Bilgem. , ionad rannsachaidh tèarainteachd fiosrachaidh agus teicneòlasan adhartach. B’ e Tahir Taner Tımış an neach-conaltraidh airson Koç Savunma, aig an robh dreuchd mar Mhanaidsear Phrògraman aig Koç Bilgi ve Savunma Teknolojileri A.Ş. bhon t-Sultain 2013 gu Dùbhlachd 2018. Nas fhaide air adhart thòisich e ag obair aig ASELSAN A.Ş.
Eisimpleir de sgrìobhainn decoy
Às deidh don neach-cleachdaidh macros droch-rùnach a chuir an gnìomh, thèid an backdoor POWERSTATS a luchdachadh sìos gu coimpiutair an neach-fulaing.
Taing do mheata-dàta na sgrìobhainn decoy seo (MD5: 0638adf8fb4095d60fbef190a759aa9e) b’ urrainn do luchd-rannsachaidh trì sampallan a bharrachd a lorg anns an robh luachan co-ionann, a’ toirt a-steach ceann-latha agus àm cruthachaidh, ainm neach-cleachdaidh, agus liosta de macros anns an robh:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Sònrachaidhean.doc (5c6148619abb10bb3789dcfb32f759a6)
Glacadh-sgrìn de mheata-dàta co-ionann de dhiofar sgrìobhainnean decoy
Aon de na sgrìobhainnean a chaidh a lorg leis an ainm ListOfHackedEmails.doc tha liosta ann de 34 seòlaidhean puist-d a bhuineas don àrainn @aselsan.com.tr.
Rinn eòlaichean Buidheann-IB sùil air seòlaidhean puist-d ann an aoidion poblach agus lorg iad gu robh 28 dhiubh ann an cunnart ann an aoidion a chaidh a lorg roimhe. Sheall sgrùdadh air a’ mheasgachadh de dh’ aoidion a bha rim faighinn timcheall air 400 logadh a-steach sònraichte co-cheangailte ris an raon seo agus faclan-faire dhaibh. Tha e comasach gun do chleachd luchd-ionnsaigh an dàta seo a bha ri fhaighinn gu poblach gus ionnsaigh a thoirt air ASELSAN A.Ş.
Gabh-ghlacadh den sgrìobhainn ListOfHackedEmails.doc
Glacadh-sgrìn de liosta de chòrr air 450 paidhir facal-faire logadh a-steach a chaidh a lorg ann an aoidion poblach
Am measg nan sampallan a chaidh a lorg bha sgrìobhainn leis an tiotal cuideachd F35-Sònrachaidhean.doc, a 'toirt iomradh air a' chidhe sabaid F-35. Tha an sgrìobhainn biathadh na shònrachadh airson bomair-trodaiche ioma-dhreuchd F-35, a’ nochdadh feartan agus prìs an itealain. Tha cuspair an sgrìobhainn seo a’ buntainn gu dìreach ri diùltadh na SA F-35an a thoirt seachad às deidh don Tuirc na siostaman S-400 a cheannach agus a’ chunnart gun tèid fiosrachadh mun F-35 Lightning II a ghluasad chun Ruis.
Sheall an dàta gu lèir a fhuaireadh gur e prìomh thargaidean ionnsaighean saidhbear MuddyWater buidhnean anns an Tuirc.
Cò a th’ ann an Gladyator_CRK agus Nima Nikjoo?
Na bu thràithe, sa Mhàrt 2019, chaidh sgrìobhainnean droch-rùnach a lorg a chruthaich aon neach-cleachdaidh Windows fon far-ainm Gladiyator_CRK. Sgaoil na sgrìobhainnean sin cuideachd cùl-raon POWERSTATS agus ceangailte ri frithealaiche C&C leis an aon ainm gladiator[.]tk.
Is dòcha gun deach seo a dhèanamh às deidh don neach-cleachdaidh Nima Nikjoo postadh air Twitter air 14 Màrt 2019, a’ feuchainn ri còd obfuscated co-cheangailte ri MuddyWater a dhì-chòdachadh. Anns na beachdan don tweet seo, thuirt an neach-rannsachaidh nach b ’urrainn dha comharran co-rèiteachaidh a cho-roinn airson an malware seo, leis gu bheil am fiosrachadh seo dìomhair. Gu mì-fhortanach, chaidh am post a sguabadh às mu thràth, ach tha comharran dheth fhathast air-loidhne:
Tha Nima Nikjoo na shealbhadair air ìomhaigh Gladiyator_CRK air na làraich aoigheachd bhidio Iran dideo.ir agus videoi.ir. Air an làrach seo, tha e a 'sealltainn buannachdan PoC gus innealan antivirus a dhì-cheadachadh bho dhiofar luchd-reic agus bogsaichean gainmhich a sheachnadh. Tha Nima Nikjoo a’ sgrìobhadh mu dheidhinn fhèin gu bheil e na eòlaiche tèarainteachd lìonra, a bharrachd air innleadair cùil agus anailisiche malware a tha ag obair dha MTN Irancell, companaidh cian-conaltraidh à Ioran.
Glacadh-sgrìn de bhideothan a chaidh a shàbhaladh ann an toraidhean rannsachaidh Google:
Nas fhaide air adhart, air 19 Màrt 2019, dh ’atharraich an neach-cleachdaidh Nima Nikjoo air an lìonra sòisealta Twitter am far-ainm aige gu Malware Fighter, agus chuir e às cuideachd puist agus beachdan co-cheangailte. Chaidh ìomhaigh Gladyator_CRK air an aoigheachd bhidio dideo.ir a dhubhadh às cuideachd, mar a bha fìor air YouTube, agus chaidh am pròifil fhèin ath-ainmeachadh N Tabrizi. Ach, cha mhòr mìos às deidh sin (16 Giblean, 2019), thòisich an cunntas Twitter a’ cleachdadh an ainm Nima Nikjoo a-rithist.
Rè an sgrùdaidh, lorg eòlaichean Group-IB gun deach iomradh a thoirt air Nima Nikjoo mu thràth co-cheangailte ri gnìomhan saidhbear. Anns an Lùnastal 2014, dh'fhoillsich blog Iran Khabarestan fiosrachadh mu dhaoine fa leth co-cheangailte ris a 'bhuidheann cybercriminal Institiùd Nasr Iran. Thuirt aon sgrùdadh FireEye gun robh Nasr Institute na chùmhnantaiche airson APT33 agus gu robh e cuideachd an sàs ann an ionnsaighean DDoS air bancaichean na SA eadar 2011 agus 2013 mar phàirt de iomairt ris an canar Operation Ababil.
Mar sin anns an aon bhlog, chaidh iomradh a thoirt air Nima Nikju-Nikjoo, a bha a’ leasachadh malware gus brath a ghabhail air Ioranaich, agus an seòladh puist-d aige: gladiyator_cracker@yahoo[.] com.
Glacadh-sgrìn de dhàta air sgàth eucoirich saidhbear bho Institiud Nasr Iran:
Eadar-theangachadh den teacsa comharraichte gu Ruisis: Nima Nikio - Spyware Developer - Post-d:.
Mar a chithear bhon fhiosrachadh seo, tha an seòladh puist-d co-cheangailte ris an t-seòladh a chaidh a chleachdadh anns na h-ionnsaighean agus an luchd-cleachdaidh Gladyator_CRK agus Nima Nikjoo.
A bharrachd air an sin, thuirt artaigil 15 Ògmhios, 2017 gu robh Nikjoo rudeigin mì-chùramach ann a bhith a’ postadh iomraidhean gu Ionad Tèarainteachd Kavosh nuair a thòisich e. Ith gu bheil Ionad Tèarainteachd Kavosh a’ faighinn taic bho stàit Ioran gus luchd-hackers a tha airson an riaghaltas a mhaoineachadh.
Fiosrachadh mun chompanaidh far an robh Nima Nikjoo ag obair:
Tha ìomhaigh LinkedIn neach-cleachdaidh Twitter Nima Nikjoo a’ liostadh a’ chiad àite obrach aige mar Ionad Tèarainteachd Kavosh, far an robh e ag obair bho 2006 gu 2014. Rè na h-obrach aige, rinn e sgrùdadh air diofar malware, agus cuideachd a 'dèiligeadh ri cùl agus obair co-cheangailte ri obfuscation.
Fiosrachadh mun chompanaidh Nima Nikjoo ag obair dha air LinkedIn:
MuddyWater agus fèin-spèis àrd
Tha e neònach gum bi a’ bhuidheann MuddyWater a’ cumail sùil gheur air a h-uile aithisg agus teachdaireachd bho eòlaichean tèarainteachd fiosrachaidh a chaidh fhoillseachadh mun deidhinn, agus eadhon a’ fàgail brataichean meallta an toiseach gus luchd-rannsachaidh a thilgeil far an fhàile. Mar eisimpleir, bha na ciad ionnsaighean aca a 'mealladh eòlaichean le bhith a' lorg cleachdadh DNS Messenger, a bha gu cumanta co-cheangailte ris a 'bhuidheann FIN7. Ann an ionnsaighean eile, chuir iad sreathan Sìneach a-steach don chòd.
A bharrachd air an sin, is toil leis a’ bhuidheann teachdaireachdan fhàgail airson luchd-rannsachaidh. Mar eisimpleir, cha bu toil leotha gun do chuir Kaspersky Lab MuddyWater san 3mh àite san ìre bagairt aige airson na bliadhna. Aig an aon àm, chuir cuideigin - a rèir coltais a ’bhuidheann MuddyWater - suas PoC de brath gu YouTube a chuireas casg air an anti-bhìoras LK. Dh'fhàg iad cuideachd beachd fon artaigil.
Glacaidhean-sgrìn den bhidio mu bhith a’ cur casg air antivirus Kaspersky Lab agus an aithris gu h-ìosal:
Tha e fhathast duilich a thighinn gu co-dhùnadh gun teagamh mu bhith an sàs ann an "Nima Nikjoo". Tha eòlaichean Buidheann-IB a' beachdachadh air dà dhreach. Is dòcha gu bheil Nima Nikjoo, gu dearbh, na neach-tarraing bhon bhuidheann MuddyWater, a thàinig am follais air sgàth a dhearmad agus barrachd gnìomhachd air an lìonra. Is e an dàrna roghainn gum biodh e “air a nochdadh” a dh’aona ghnothach le buill eile den bhuidheann gus amharas a chuir air falbh bhuapa fhèin. Co-dhiù, tha Group-IB a’ leantainn leis an rannsachadh aca agus bidh iad gu cinnteach ag aithris air na toraidhean aca.
A thaobh APTan à Ioran, às deidh sreath de dh’ aoidion agus aoidion, is dòcha gum bi iad an aghaidh droch “sgrùdadh” - thèid toirt air luchd-hackers na h-innealan aca atharrachadh gu mòr, na slighean aca a ghlanadh agus “moles” a lorg nan rangannan. Cha robh eòlaichean a’ cumail a-mach gun toireadh iad eadhon ùine a-mach, ach às deidh fois ghoirid, lean na h-ionnsaighean APT à Ioran a-rithist.
Source: www.habr.com