Iranski provladini hakeri u velikim su problemima. Tijekom proljeća nepoznati ljudi objavljivali su "tajne informacije" na Telegramu - informacije o APT grupama povezanim s iranskom vladom - Platforma za podmorsko bušenje и Mutna voda — njihovi alati, žrtve, veze. Ali ne o svima. U travnju su stručnjaci Group-IB-a otkrili curenje poštanskih adresa turske korporacije ASELSAN A.Ş, koja proizvodi taktičke vojne radio uređaje i elektroničke obrambene sustave za turske oružane snage. Anastazija Tihonova, Voditelj tima za napredno istraživanje prijetnji Group-IB, i Nikita Rostovcev, mlađi analitičar u Group-IB, opisao je tijek napada na ASELSAN A.Ş i pronašao mogućeg sudionika Mutna voda.
Rasvjeta putem Telegrama
Curenje iranskih APT grupa počelo je činjenicom da je stanoviti Lab Doukhtegan izvorni kodovi šest APT34 alata (aka OilRig i HelixKitten), otkrili su IP adrese i domene uključene u operacije, kao i podatke o 66 žrtava hakera, uključujući Etihad Airways i Emirates National Oil. Lab Doookhtegan također je objavio podatke o prošlim operacijama grupe i informacije o zaposlenicima iranskog Ministarstva informacija i nacionalne sigurnosti koji su navodno povezani s operacijama grupe. OilRig je APT grupa povezana s Iranom koja postoji otprilike od 2014. i cilja na vladine, financijske i vojne organizacije, kao i energetske i telekomunikacijske tvrtke na Bliskom istoku i u Kini.
Nakon što je OilRig razotkriven, curenje se nastavilo - na darknetu i Telegramu pojavile su se informacije o aktivnostima druge prodržavne skupine iz Irana, MuddyWater. Međutim, za razliku od prvog curenja, ovaj put nisu objavljeni izvorni kodovi, već deponije, uključujući snimke zaslona izvornih kodova, kontrolnih poslužitelja, kao i IP adresa prošlih žrtava hakera. Ovaj put su hakeri Green Leakersa preuzeli odgovornost za curenje informacija o MuddyWateru. Posjeduju nekoliko Telegram kanala i darknet stranica na kojima reklamiraju i prodaju podatke vezane uz operacije MuddyWatera.
Cyber špijuni s Bliskog istoka
Mutna voda je grupa koja djeluje od 2017. godine na Bliskom istoku. Na primjer, kako primjećuju stručnjaci Group-IB-a, od veljače do travnja 2019. hakeri su izveli niz phishing poruka usmjerenih na vlade, obrazovne organizacije, financijske, telekomunikacijske i obrambene tvrtke u Turskoj, Iranu, Afganistanu, Iraku i Azerbajdžanu.
Članovi grupe koriste backdoor vlastitog razvoja temeljen na PowerShell-u, tzv POWERSTATS. On može:
- prikupljati podatke o lokalnim i domenskim računima, dostupnim poslužiteljima datoteka, unutarnjim i vanjskim IP adresama, nazivu OS-a i arhitekturi;
- izvršiti daljinsko izvršavanje koda;
- upload i download datoteka putem C&C;
- otkriti prisutnost programa za uklanjanje pogrešaka koji se koriste u analizi zlonamjernih datoteka;
- isključite sustav ako se pronađu programi za analizu zlonamjernih datoteka;
- brisanje datoteka s lokalnih pogona;
- napraviti snimke zaslona;
- onemogućiti sigurnosne mjere u proizvodima Microsoft Officea.
U nekom trenutku napadači su pogriješili i istraživači iz ReaQte uspjeli su doći do konačne IP adrese koja se nalazila u Teheranu. S obzirom na mete koje je skupina napadala, kao i njezine ciljeve povezane s kibernetičkom špijunažom, stručnjaci su sugerirali da skupina zastupa interese iranske vlade.
Indikatori napadaC&C:
- gladijator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Datoteke:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Turska pod napadom
Dana 10. travnja 2019. stručnjaci Group-IB otkrili su curenje poštanskih adresa turske tvrtke ASELSAN A.Ş, najveće tvrtke u području vojne elektronike u Turskoj. Njegovi proizvodi uključuju radar i elektroniku, elektrooptiku, avioniku, bespilotne sustave, kopnene, pomorske, oružje i sustave protuzračne obrane.
Proučavajući jedan od novih uzoraka zlonamjernog softvera POWERSTATS, stručnjaci Group-IB-a utvrdili su da je grupa napadača MuddyWater kao mamac koristila dokument o licenci između Koç Savunme, tvrtke koja proizvodi rješenja u području informacijskih i obrambenih tehnologija, i Tubitak Bilgema , centar za istraživanje informacijske sigurnosti i naprednih tehnologija. Kontakt osoba za Koç Savunma bio je Tahir Taner Tımış, koji je bio na poziciji voditelja programa u Koç Bilgi ve Savunma Teknolojileri A.Ş. od rujna 2013. do prosinca 2018. Kasnije je počeo raditi u ASELSAN A.Ş.
Uzorak dokumenta mamac
Nakon što korisnik aktivira zlonamjerne makronaredbe, POWERSTATS backdoor se preuzima na žrtvino računalo.
Zahvaljujući metapodacima ovog dokumenta mamaca (MD5: 0638adf8fb4095d60fbef190a759aa9e) istraživači su uspjeli pronaći tri dodatna uzorka koji sadrže identične vrijednosti, uključujući datum i vrijeme stvaranja, korisničko ime i popis sadržanih makronaredbi:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifikacije.doc (5c6148619abb10bb3789dcfb32f759a6)
Snimka zaslona identičnih metapodataka raznih lažnih dokumenata
Jedan od otkrivenih dokumenata s imenom ListOfHackedEmails.doc sadrži popis od 34 e-mail adrese koje pripadaju domeni @aselsan.com.tr.
Stručnjaci Group-IB-a provjerili su adrese e-pošte u javno dostupnim curenjima i otkrili da je njih 28 kompromitirano u prethodno otkrivenim curenjima. Provjera mješavine dostupnih curenja pokazala je oko 400 jedinstvenih prijava povezanih s ovom domenom i lozinki za njih. Moguće je da su napadači iskoristili ove javno dostupne podatke za napad na ASELSAN A.Ş.
Snimka zaslona dokumenta ListOfHackedEmails.doc
Snimka zaslona popisa više od 450 otkrivenih parova prijava-lozinka u javnim curenjima
Među otkrivenim uzorcima nalazio se i dokument s naslovom F35-Specifikacije.doc, misleći na borbeni avion F-35. Dokument mamac je specifikacija za višenamjenski lovac-bombarder F-35, u kojoj su naznačene karakteristike i cijena zrakoplova. Tema ovog lažnog dokumenta izravno se odnosi na američko odbijanje isporuke F-35 nakon što je Turska kupila sustave S-400 i prijetnju da će Rusiji prenijeti informacije o F-35 Lightning II.
Svi primljeni podaci upućuju na to da su glavne mete cyber napada MuddyWater bile organizacije smještene u Turskoj.
Tko su Gladiyator_CRK i Nima Nikjoo?
Ranije, u ožujku 2019., otkriveni su zlonamjerni dokumenti koje je izradio jedan korisnik Windowsa pod nadimkom Gladiyator_CRK. Ovi su dokumenti također distribuirali POWERSTATS backdoor i povezali se s C&C poslužiteljem sličnog naziva gladijator[.]tk.
To je možda učinjeno nakon što je korisnik Nima Nikjoo objavio na Twitteru 14. ožujka 2019., pokušavajući dekodirati maskirani kod povezan s MuddyWaterom. U komentarima na ovaj tweet, istraživač je rekao da ne može podijeliti pokazatelje kompromitacije za ovaj malware jer su te informacije povjerljive. Nažalost, objava je već izbrisana, ali njeni tragovi ostaju online:
Nima Nikjoo je vlasnik profila Gladiyator_CRK na iranskim video hosting stranicama dideo.ir i videoi.ir. Na ovoj stranici demonstrira PoC iskorištavanje za onemogućavanje antivirusnog softvera raznih dobavljača i zaobilaženje sandboxa. Nima Nikjoo za sebe piše da je stručnjak za mrežnu sigurnost, kao i obrnuti inženjer i analitičar malwarea koji radi za MTN Irancell, iransku telekomunikacijsku tvrtku.
Snimka zaslona spremljenih videozapisa u rezultatima Google pretraživanja:
Kasnije, 19. ožujka 2019., korisnik Nima Nikjoo na društvenoj mreži Twitter promijenio je svoj nadimak u Malware Fighter, a također je izbrisao povezane objave i komentare. Izbrisan je i profil Gladiyator_CRK na video hostingu dideo.ir, kao i na YouTubeu, a sam profil je preimenovan u N Tabrizi. Međutim, gotovo mjesec dana kasnije (16. travnja 2019.), Twitter račun ponovno je počeo koristiti ime Nima Nikjoo.
Tijekom istraživanja stručnjaci Group-IB-a otkrili su da se Nima Nikjoo već spominjao u vezi s aktivnostima kibernetičkog kriminala. U kolovozu 2014. blog Iran Khabarestan objavio je informacije o pojedincima povezanim s kibernetičkom kriminalnom skupinom Iranian Nasr Institute. Jedna FireEye istraga je izjavila da je Nasr Institut bio izvođač za APT33 i da je također bio uključen u DDoS napade na američke banke između 2011. i 2013. u sklopu kampanje pod nazivom Operacija Ababil.
Tako je u istom blogu spomenut Nima Nikju-Nikjoo, koji je razvijao malware za špijuniranje Iranaca, i njegova adresa e-pošte: gladiyator_cracker@yahoo[.]com.
Snimka zaslona podataka koji se pripisuju cyber kriminalcima iz iranskog instituta Nasr:
Prijevod označenog teksta na ruski: Nima Nikio - razvijač špijunskog softvera - e-pošta:.
Kao što je vidljivo iz ovih informacija, email adresa je povezana s adresom korištenom u napadima i korisnicima Gladiyator_CRK i Nima Nikjoo.
Osim toga, u članku od 15. lipnja 2017. navedeno je da je Nikjoo bio pomalo nemaran u objavljivanju referenci Kavosh Security Centera u svom životopisu. Jesti da Kavosh Security Center podržava iranska država za financiranje provladinih hakera.
Informacije o tvrtki u kojoj je radio Nima Nikjoo:
LinkedIn profil korisnika Twittera Nime Nikjoo navodi njegovo prvo mjesto zaposlenja kao Kavosh Security Center, gdje je radio od 2006. do 2014. godine. Tijekom svog rada proučavao je razne zlonamjerne programe, a bavio se i obrnutim i zamagljenim poslovima.
Podaci o tvrtki za koju je radio Nima Nikjoo na LinkedInu:
MuddyWater i visoko samopoštovanje
Zanimljivo je da grupa MuddyWater pomno prati sve izvještaje i poruke stručnjaka za informacijsku sigurnost objavljene o njima, pa je čak i namjerno isprva ostavila lažne zastavice kako bi istraživače izbacila iz usta. Na primjer, njihovi prvi napadi doveli su u zabludu stručnjake otkrivši korištenje DNS Messengera, koji se obično povezivao s grupom FIN7. U drugim su napadima ubacivali kineske nizove u kod.
Osim toga, grupa voli ostavljati poruke istraživačima. Na primjer, nije im se svidjelo što je Kaspersky Lab stavio MuddyWater na 3. mjesto u svojoj ocjeni prijetnji za godinu. U istom trenutku netko je - vjerojatno grupa MuddyWater - prenio PoC eksploatacije na YouTube koja onemogućuje LK antivirus. Ostavili su i komentar ispod članka.
Snimke zaslona videa o onemogućavanju Kaspersky Lab antivirusa i komentar ispod:
Još uvijek je teško donijeti nedvosmislen zaključak o umiješanosti “Nima Nikjooa”. Stručnjaci Group-IB-a razmatraju dvije verzije. Nima Nikjoo, doista, može biti haker iz grupe MuddyWater, koji je izašao na vidjelo zbog svog nemara i povećane aktivnosti na mreži. Druga opcija je da su ga namjerno “razotkrili” ostali članovi grupe kako bi skrenuli sumnju sa sebe. U svakom slučaju, Group-IB nastavlja svoja istraživanja i svakako će izvijestiti o rezultatima.
Što se tiče iranskih APT-ova, nakon niza curenja i curenja informacija, oni će se vjerojatno suočiti s ozbiljnim "debrifingom" - hakeri će biti prisiljeni ozbiljno promijeniti svoje alate, očistiti svoje tragove i pronaći moguće "krtice" u svojim redovima. Stručnjaci nisu isključili da će čak uzeti i timeout, no nakon kratke stanke ponovno su nastavljeni napadi iranskog APT-a.
Izvor: www.habr.com