Os hackers progobernamentais iranianos están en grandes problemas. Ao longo da primavera, persoas descoñecidas publicaron "filtracións secretas" en Telegram - información sobre grupos APT asociados co goberno iraniano - Plataforma de petróleo и MuddyWater - as súas ferramentas, vítimas, conexións. Pero non sobre todos. En abril, os especialistas do Grupo IB descubriron unha filtración de enderezos de correo da corporación turca ASELSAN A.Ş, que produce radios militares tácticas e sistemas de defensa electrónica para as forzas armadas turcas. Anastasia Tikhonova, líder do equipo de investigación de ameazas avanzadas do Grupo-IB e Nikita Rostovtsev, analista júnior do Grupo-IB, describiu o curso do ataque contra ASELSAN A.Ş e atopou un posible participante MuddyWater.
Iluminación a través de Telegram
A filtración dos grupos APT iranianos comezou co feito de que un tal Lab Doukhtegan os códigos fonte de seis ferramentas APT34 (tamén coñecidos como OilRig e HelixKitten), revelaron os enderezos IP e os dominios implicados nas operacións, así como datos sobre 66 vítimas de hackers, incluíndo Etihad Airways e Emirates National Oil. O laboratorio Doookhtegan tamén filtrou datos sobre as operacións pasadas do grupo e información sobre empregados do Ministerio de Información e Seguridade Nacional iraniano que supostamente están asociados coas operacións do grupo. OilRig é un grupo APT vinculado a Irán que existe desde arredor de 2014 e está dirixido a organizacións gobernamentais, financeiras e militares, así como a empresas de enerxía e telecomunicacións de Oriente Medio e China.
Despois de que OilRig fose exposto, as filtracións continuaron: a información sobre as actividades doutro grupo pro-estatal de Irán, MuddyWater, apareceu na darknet e en Telegram. Non obstante, a diferenza da primeira filtración, esta vez non foron os códigos fonte os que se publicaron, senón os vertedoiros, incluíndo capturas de pantalla dos códigos fonte, servidores de control, así como os enderezos IP das vítimas pasadas de hackers. Esta vez, os hackers de Green Leakers asumiron a responsabilidade da filtración sobre MuddyWater. Posúen varias canles de Telegram e sitios darknet onde anuncian e venden datos relacionados coas operacións de MuddyWater.
Espías cibernéticos de Oriente Medio
MuddyWater é un grupo que leva activo desde 2017 en Oriente Medio. Por exemplo, como sinalan os expertos do Grupo IB, de febreiro a abril de 2019, os piratas informáticos realizaron unha serie de correos de phishing dirixidos ao goberno, organizacións educativas, empresas financeiras, de telecomunicacións e de defensa en Turquía, Irán, Afganistán, Iraq e Acerbaixán.
Os membros do grupo usan unha porta traseira do seu propio desenvolvemento baseado en PowerShell, que se chama POTENCIAS. El pode:
- recoller datos sobre contas locais e de dominio, servidores de ficheiros dispoñibles, enderezos IP internos e externos, nome e arquitectura do sistema operativo;
- realizar a execución remota de código;
- cargar e descargar ficheiros mediante C&C;
- detectar a presenza de programas de depuración utilizados na análise de ficheiros maliciosos;
- apague o sistema se se atopan programas para analizar ficheiros maliciosos;
- eliminar ficheiros das unidades locais;
- facer capturas de pantalla;
- desactivar as medidas de seguridade nos produtos de Microsoft Office.
Nalgún momento, os atacantes cometeron un erro e os investigadores de ReaQta conseguiron obter o enderezo IP final, que estaba situado en Teherán. Dados os obxectivos atacados polo grupo, así como os seus obxectivos relacionados coa ciberespionaxe, os expertos suxeriron que o grupo representa os intereses do goberno iraniano.
Indicadores de ataqueC&C:
- gladiador[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Arquivos:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Turquía baixo ataque
O 10 de abril de 2019, os especialistas do Grupo IB descubriron unha filtración de enderezos de correo da empresa turca ASELSAN A.Ş, a maior empresa no campo da electrónica militar de Turquía. Os seus produtos inclúen radares e electrónica, electro-óptica, aviónica, sistemas non tripulados, sistemas terrestres, navais, de armas e de defensa aérea.
Ao estudar unha das novas mostras do malware POWERSTATS, os expertos do Group-IB determinaron que o grupo de atacantes MuddyWater utilizou como documento de cebo un acordo de licenza entre Koç Savunma, unha empresa que produce solucións no campo das tecnoloxías da información e defensa, e Tubitak Bilgem. , un centro de investigación en seguridade da información e tecnoloxías avanzadas. A persoa de contacto de Koç Savunma foi Tahir Taner Tımış, que ocupaba o cargo de xestor de programas en Koç Bilgi ve Savunma Teknolojileri A.Ş. de setembro de 2013 a decembro de 2018. Máis tarde comezou a traballar en ASELSAN A.Ş.
Exemplo de documento de señuelo
Despois de que o usuario active macros maliciosas, a porta traseira de POWERSTATS descárgase no ordenador da vítima.
Grazas aos metadatos deste documento de señuelo (MD5: 0638adf8fb4095d60fbef190a759aa9e) os investigadores puideron atopar tres mostras adicionais que conteñen valores idénticos, incluíndo a data e a hora de creación, o nome de usuario e unha lista de macros contidas:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Especificacións.doc (5c6148619abb10bb3789dcfb32f759a6)
Captura de pantalla de metadatos idénticos de varios documentos de señuelo
Un dos documentos descubertos co nome ListOfHackedEmails.doc contén unha lista de 34 enderezos de correo electrónico pertencentes ao dominio @aselsan.com.tr.
Os especialistas do Grupo IB comprobaron os enderezos de correo electrónico en filtracións dispoñibles publicamente e descubriron que 28 delas estaban comprometidas en filtracións descubertas previamente. Ao comprobar a mestura de filtracións dispoñibles mostrou preto de 400 inicios de sesión únicos asociados a este dominio e contrasinais para eles. É posible que os atacantes usaran estes datos dispoñibles publicamente para atacar a ASELSAN A.Ş.
Captura de pantalla do documento ListOfHackedEmails.doc
Captura de pantalla dunha lista de máis de 450 pares de inicio de sesión e contrasinal detectados en filtracións públicas
Entre as mostras descubertas tamén había un documento co título F35-Especificacións.doc, referíndose ao avión de combate F-35. O documento de cebo é unha especificación para o cazabombardeiro multifunción F-35, que indica as características e o prezo da aeronave. O tema deste documento de señuelo está directamente relacionado coa negativa dos Estados Unidos a subministrar F-35 despois da compra por parte de Turquía dos sistemas S-400 e a ameaza de transferir información sobre o F-35 Lightning II a Rusia.
Todos os datos recibidos indicaban que os principais obxectivos dos ciberataques de MuddyWater eran organizacións situadas en Turquía.
Quen son Gladiyator_CRK e Nima Nikjoo?
Anteriormente, en marzo de 2019, descubriuse documentos maliciosos creados por un usuario de Windows baixo o alcume Gladiyator_CRK. Estes documentos tamén distribuíron a porta traseira POWERSTATS e conectáronse a un servidor C&C cun nome similar gladiador[.]tk.
É posible que isto se fixera despois de que o usuario Nima Nikjoo publicase en Twitter o 14 de marzo de 2019, tentando descodificar o código ofuscado asociado a MuddyWater. Nos comentarios a este tuit, o investigador dixo que non podía compartir indicadores de compromiso para este malware, xa que esta información é confidencial. Desafortunadamente, a publicación xa se eliminou, pero aínda quedan rastros en liña:
Nima Nikjoo é a propietaria do perfil Gladiyator_CRK nos sitios de hospedaxe de vídeos iranianos dideo.ir e videoi.ir. Neste sitio, demostra as explotacións de PoC para desactivar as ferramentas antivirus de varios provedores e evitar os sandbox. Nima Nikjoo escribe sobre si mesmo que é un especialista en seguridade de redes, así como un enxeñeiro inverso e analista de malware que traballa para MTN Irancell, unha empresa de telecomunicacións iraniana.
Captura de pantalla dos vídeos gardados nos resultados da busca de Google:
Máis tarde, o 19 de marzo de 2019, o usuario Nima Nikjoo na rede social Twitter cambiou o seu alcume a Malware Fighter e tamén eliminou publicacións e comentarios relacionados. Tamén se eliminou o perfil de Gladiyator_CRK no que hospeda o vídeo dideo.ir, como ocorreu en YouTube, e o propio perfil pasou a chamarse N Tabrizi. Non obstante, case un mes despois (16 de abril de 2019), a conta de Twitter comezou a usar de novo o nome Nima Nikjoo.
Durante o estudo, os especialistas do Grupo-IB descubriron que Nima Nikjoo xa fora mencionado en relación con actividades cibercriminais. En agosto de 2014, o blog Iran Khabarestan publicou información sobre persoas asociadas ao grupo cibercriminal Iranian Nasr Institute. Unha investigación de FireEye afirmou que o Nasr Institute era un contratista de APT33 e tamén estivo implicado en ataques DDoS contra bancos estadounidenses entre 2011 e 2013 como parte dunha campaña chamada Operación Ababil.
Así, no mesmo blog, mencionouse a Nima Nikju-Nikjoo, que estaba a desenvolver software malicioso para espiar aos iranianos, e o seu enderezo de correo electrónico: gladiyator_cracker@yahoo[.]com.
Captura de pantalla dos datos atribuídos a cibercriminais do Instituto Nasr iraniano:
Tradución do texto destacado ao ruso: Nima Nikio - Desenvolvedor de software espía - Correo electrónico:.
Como se pode ver nesta información, o enderezo de correo electrónico está asociado ao enderezo utilizado nos ataques e aos usuarios Gladiyator_CRK e Nima Nikjoo.
Ademais, o artigo do 15 de xuño de 2017 afirmou que Nikjoo foi un pouco descoidado ao publicar referencias ao Centro de seguridade de Kavosh no seu currículo. Comer que o Centro de Seguridade Kavosh está apoiado polo estado iraniano para financiar aos hackers pro-gobernamentais.
Información sobre a empresa onde traballou Nima Nikjoo:
O perfil de LinkedIn do usuario de Twitter Nima Nikjoo enumera o seu primeiro lugar de traballo como Kavosh Security Center, onde traballou de 2006 a 2014. Durante o seu traballo, estudou varios programas maliciosos, e tamén se ocupaba do traballo inverso e relacionado coa ofuscación.
Información sobre a empresa para a que traballou Nima Nikjoo en LinkedIn:
MuddyWater e alta autoestima
É curioso que o grupo MuddyWater monitoree coidadosamente todos os informes e mensaxes dos expertos en seguridade da información publicados sobre eles, e mesmo deixou deliberadamente bandeiras falsas nun primeiro momento para que os investigadores non teñan olor. Por exemplo, os seus primeiros ataques enganaron aos expertos ao detectar o uso de DNS Messenger, que se asociaba habitualmente co grupo FIN7. Noutros ataques, inseriron cadeas chinesas no código.
Ademais, ao grupo encántalle deixar mensaxes aos investigadores. Por exemplo, non lles gustou que Kaspersky Lab colocase a MuddyWater no terceiro lugar na súa clasificación de ameazas do ano. No mesmo momento, alguén -presumiblemente o grupo MuddyWater- subiu a YouTube un PoC dun exploit que desactiva o antivirus LK. Tamén deixaron un comentario baixo o artigo.
Capturas de pantalla do vídeo sobre a desactivación do antivirus Kaspersky Lab e o seguinte comentario:
Aínda é difícil sacar unha conclusión inequívoca sobre a participación de "Nima Nikjoo". Os expertos do Grupo IB están considerando dúas versións. Nima Nikjoo, efectivamente, pode ser un hacker do grupo MuddyWater, que saíu á luz debido á súa neglixencia e aumento da actividade na rede. A segunda opción é que fose "exposto" deliberadamente por outros membros do grupo para desviar as sospeitas de si mesmos. En calquera caso, o Grupo-IB continúa a súa investigación e informará definitivamente dos seus resultados.
En canto aos APT iranianos, despois dunha serie de filtracións e filtracións, probablemente se enfronten a un serio "debriefing": os hackers veranse obrigados a cambiar seriamente as súas ferramentas, limpar as súas pistas e atopar posibles "toupos" nas súas filas. Os expertos non descartaron sequera que tomaran un tempo morto, pero despois dun pequeno descanso, os ataques da APT iraniana continuaron de novo.
Fonte: www.habr.com