Az iráni állampárti hackerek nagy bajban vannak. Egész tavasszal ismeretlenek „titkos kiszivárogtatásokat” tettek közzé a Telegramon – információk az iráni kormánnyal kapcsolatban álló APT-csoportokról – Fúrótorony и Sáros víz — eszközeiket, áldozataikat, kapcsolataikat. De nem mindenkiről. Áprilisban az IB-csoport szakemberei felfedezték a török ASELSAN A.Ş e-mail címeinek kiszivárgását, amely taktikai katonai rádióállomásokat és elektronikus védelmi rendszereket gyárt a török fegyveres erők számára. Anasztázia Tikhonova, Group-IB Advanced Threat Research Team vezetője, és Nyikita Rosztovcev, az IB csoport junior elemzője ismertette az ASELSAN A.Ş elleni támadás lefolyását, és talált egy lehetséges résztvevőt Sáros víz.
Flash táviraton keresztül
Az iráni APT-csoportok "leszívása" azzal kezdődött, hogy egy bizonyos Lab Dookhtegan hat APT34 eszköz (más néven OilRig és HelixKitten) forráskódja felfedte a tranzakciókban érintett IP-címeket és domaineket, valamint 66 hacker áldozatának adatait, köztük az Etihad Airwayst és az Emirates National Oil-t. A Lab Dookhtegan emellett "kiszivárgott" egyrészt a csoport korábbi működésére vonatkozó adatokat, másrészt az iráni Információs és Nemzetbiztonsági Minisztérium alkalmazottairól szóló információkat, akik állítólag kapcsolatban állnak a csoport működésével. Az OilRig egy Iránhoz köthető APT csoport, amely 2014 óta működik, és kormányzati, pénzügyi és katonai szervezeteket, valamint energia- és távközlési vállalatokat céloz meg a Közel-Keleten és Kínában.
Az OilRig leleplezése után a „kiszivárogtatások” folytatódtak – a darkneten és a Telegramon megjelentek információk egy másik iráni állampárti csoport, a MuddyWater tevékenységéről. Az első kiszivárogtatással ellentétben azonban ezúttal nem a forráskódokat tették közzé, hanem dumpokat, köztük a források képernyőképeit, a vezérlőszervereket és a hackerek korábbi áldozatainak IP-címeit. Ezúttal a Green Leakers vállalta a felelősséget a MuddyWater kiszivárogtatásáért. Számos Telegram csatornájuk és sötét webhelyük van, ahol a MuddyWater működésével kapcsolatos adatokat hirdetnek és értékesítenek.
Kiberkémek a Közel-Keletről
Sáros víz egy csoport, amely 2017 óta működik a Közel-Kelet országaiban. Az IB-csoport szakértői szerint például 2019 februárja és áprilisa között a hackerek adathalász leveleket küldtek kormányoknak, oktatási szervezeteknek, pénzügyi, távközlési és védelmi cégeknek Törökországban, Iránban, Afganisztánban, Irakban és Azerbajdzsánban.
A csoport tagjai saját tervezésű, PowerShell alapú hátsó ajtót használnak, amely az ún POWERSTATS. Ő tud:
- adatokat gyűjt a helyi és tartományi fiókokról, az elérhető fájlszerverekről, a belső és külső IP-címekről, az operációs rendszer nevéről és architektúrájáról;
- távoli kódvégrehajtás végrehajtása;
- fájlok feltöltése és letöltése a C&C-n keresztül;
- meghatározza a rosszindulatú fájlok elemzéséhez használt hibakereső programok jelenlétét;
- kapcsolja ki a rendszert, ha rosszindulatú fájlok elemzésére szolgáló programokat talál;
- fájlok törlése a helyi meghajtókról;
- képernyőképeket készíteni;
- tiltsa le a Microsoft Office termékek védelmi intézkedéseit.
Valamikor a támadók hibát követtek el, és a ReaQta kutatóinak sikerült megszerezniük a végső IP-címet, amely Teheránban volt. Tekintettel a csoport által támadott célpontokra, valamint a kiberkémkedéssel kapcsolatos feladataira, a szakértők azt sugallták, hogy a csoport az iráni kormány érdekeit képviseli.
TámadásjelzőkC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Fájlok:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye a fegyver alatt
10. április 2019-én az IB-csoport szakemberei a török ASELSAN A.Ş, Törökország legnagyobb katonai elektronikai vállalatának e-mail-címeinek kiszivárgását fedezték fel. Termékei között megtalálhatók a radar- és repüléselektronika, az elektro-optika, a repüléselektronika, a pilóta nélküli rendszerek, a földi, a haditengerészeti és a fegyverrendszerek, valamint a légvédelmi rendszerek.
A POWERSTATS rosszindulatú program egyik új mintájának tanulmányozása során az IB-csoport szakértői megállapították, hogy a MuddyWater támadócsoport csalidokumentumként használta a Koç Savunma információs és védelmi technológiai megoldásokkal foglalkozó cég és a Tubitak Bilgem, egy információbiztonsági kutatócsoport közötti licencszerződést. központ és a fejlett technológiák. Tahir Taner Tımış, aki a Koç Bilgi ve Savunma Teknolojileri A.Ş programmenedzsereként dolgozott, a Koç Savunma nevében nyilatkozó kapcsolattartó személyként szerepelt. 2013 szeptemberétől 2018 decemberéig. Később az ASELSAN A.Ş-nál kezdett dolgozni.
Csalidokumentum minta
Miután a felhasználó aktiválta a rosszindulatú makrókat, a POWERSTATS hátsó ajtó letöltődik az áldozat számítógépére.
A csali dokumentum metaadatainak köszönhetően (MD5: 0638adf8fb4095d60fbef190a759aa9e), a kutatók három további, azonos értékeket tartalmazó mintát találtak, beleértve a létrehozás dátumát és időpontját, a felhasználónevet és a tartalmazott makrók listáját:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc(21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Képernyőkép különböző Honeypot dokumentumok azonos metaadatairól
Az egyik felfedezett dokumentum nevezett ListOfHackedEmails.doc tartalmaz egy listát a domainhez tartozó 34 e-mail címről @aselsan.com.tr.
Az IB-csoport szakemberei ellenőrizték a nyilvánosan elérhető kiszivárogtatásokban szereplő e-mail-címeket, és megállapították, hogy közülük 28 sérült a korábban feltárt szivárgásokban. Az elérhető szivárgások egyvelegének ellenőrzése körülbelül 400 egyedi bejelentkezést mutatott ki ehhez a tartományhoz és a hozzájuk tartozó jelszavakhoz. Talán a támadók ezeket a nyilvánosan elérhető adatokat használták fel az ASELSAN A.Ş megtámadására.
A ListOfHackedEmails.doc képernyőképe
Képernyőkép több mint 450 észlelt bejelentkezési jelszó páros listáról nyilvános kiszivárogtatásban
A feltárt minták között volt egy dokumentum is a címmel F35-Specifications.docaz F-35-ös vadászgépre utalva. A csali dokumentum az F-35 többfunkciós vadászbombázó specifikációja, amely feltünteti a repülőgép jellemzőit és az árat. Ennek a csalódokumentumnak a témája közvetlenül kapcsolódik az Egyesült Államok F-35-ösök szállításának megtagadásához, miután Törökország megvásárolta az S-400-as rendszereket, és azzal a fenyegetéssel, hogy az F-35 Lightning II-vel kapcsolatos információkat továbbítanak Oroszországnak.
Az összes beérkezett adat arra utal, hogy a MuddyWater kibertámadásainak fő célpontjai a törökországi szervezetek voltak.
Kik azok a Gladiyator_CRK és Nima Nikjoo?
Korábban, 2019 márciusában egy Windows-felhasználó által Gladiyator_CRK becenéven létrehozott rosszindulatú dokumentumokat fedeztek fel. Ezek a dokumentumok a POWERSTATS hátsó ajtót is terjesztették, és egy hasonló nevű C&C szerverhez csatlakoztak. gladiyator[.]tk.
Erre azután kerülhetett sor, hogy Nima Nikjoo 14. március 2019-én Twitter-bejegyzést tett közzé, amelyben megpróbálja dekódolni a MuddyWaterrel kapcsolatos zavaros kódot. A tweethez fűzött megjegyzésekben a kutató azt mondta, hogy nem tudja megosztani a kártevő kompromittálási mutatóit, mivel ezek az információk bizalmasak. Sajnos a bejegyzést már törölték, de a nyomai a hálózaton maradnak:
Nima Nikjoo a Gladiyator_CRK profil tulajdonosa az iráni dideo.ir és videoi.ir videomegosztó oldalakon. Ezen az oldalon bemutatja a különböző gyártók víruskereső eszközeinek letiltására és a homokozók megkerülésére szolgáló PoC exploitokat. Nima Nikjoo azt írja magáról, hogy hálózatbiztonsági szakértő, valamint visszafejtő és rosszindulatú programelemző, aki az MTN Irancell iráni távközlési cégnél dolgozik.
Képernyőkép a Google keresési eredményei között mentett videókról:
Később, 19. március 2019-én Nima Nikjoo Twitter-felhasználó Malware Fighterre változtatta becenevét, és törölte a kapcsolódó bejegyzéseket és megjegyzéseket. A dideo.ir videótároló Gladiyator_CRK profilját is törölték, valamint a YouTube-ról, magát a profilt pedig N Tabrizi névre keresztelték. Csaknem egy hónappal később (16. április 2019-án) azonban a Twitter-fiók újra a Nima Nikjoo nevet kezdte használni.
A kutatás során az IB-csoport szakemberei megállapították, hogy Nima Nikjoo-t már korábban is emlegették kiberbűnözői tevékenységekkel kapcsolatban. 2014 augusztusában az Iran Khabarestan blog információkat közölt az Iráni Nasr Institute kiberbűnözői csoporttal kapcsolatban álló személyekről. A FireEye egyik vizsgálata azt állította, hogy a Nasr Institute az APT33 alvállalkozója volt, és 2011 és 2013 között az Operation Ababil nevű kampány részeként részt vett amerikai bankok elleni DDoS-támadásokban is.
Tehát ugyanabban a blogban megemlítették Nima Nikju-Nikjoo-t, aki rosszindulatú programokat fejlesztett ki, hogy irániak után kémkedjen, és az e-mail címe: gladiyator_cracker@yahoo[.]com.
Képernyőkép az iráni Nasr Intézet kiberbűnözőknek tulajdonított adatokról:
A kiválasztott fordítás orosz nyelvre: Nima Nikio – Kémprogram-fejlesztő – E-mail cím:.
Amint az ezekből az információkból látható, az e-mail cím a támadásoknál és a Gladiyator_CRK és Nima Nikjoo felhasználóknál használt címhez kapcsolódik.
Ezenkívül a 15. június 2017-i cikk azt állította, hogy Nikjoo kissé hanyagnak tűnt a Kavosh Security Center cégre mutató hivatkozások közzétételekor az önéletrajzában. Eszik hogy a Kavosh Biztonsági Központot az iráni állam támogatja a kormánypárti hackerek finanszírozására.
Információk a cégről, ahol Nima Nikjoo dolgozott:
Nima Nikjoo Twitter-felhasználó LinkedIn-profiljában első munkahelyeként a Kavosh Security Center szerepel, ahol 2006 és 2014 között dolgozott. Munkája során különféle malware-eket tanulmányozott, illetve fordított és obfuszkációval kapcsolatos munkákkal is foglalkozott.
Információk arról a cégről, amelynek Nima Nikjoo dolgozott a LinkedIn-en:
MuddyWater és felfújt önbecsülés
Érdekesség, hogy a MuddyWater csoport gondosan figyelemmel kíséri az információbiztonsági szakértők róluk közzétett összes jelentését és üzenetét, és eleinte szándékosan hamis zászlókat hagyott hátra, hogy leterelje a kutatókat. Például első támadásaik félrevezették a szakértőket, amikor felfedezték a DNS Messenger használatát, amelyet általában a FIN7 csoporthoz kapcsoltak. Más támadásoknál kínai nyelvű karakterláncokat illesztettek be a kódba.
Emellett a csoport nagyon szeret üzeneteket hagyni a kutatóknak. Például nem tetszett nekik, hogy a Kaspersky Lab a MuddyWater-t a 3. helyre helyezte az évi fenyegetettségi besorolásában. Ugyanakkor valaki - feltehetően a MuddyWater csoport - feltöltött a YouTube-ra egy PoC exploitot, amely letiltja az LK víruskeresőt. Kommentet is hagytak a cikk alatt.
Képernyőképek a Kaspersky Lab antivirus letiltását bemutató videóról és az alatta lévő megjegyzésről:
Egyelőre nehéz egyértelmű következtetést levonni "Nima Nikjoo" érintettségéről. A Group-IB szakértői két változatot fontolgatnak. Nima Nikjoo valóban a MuddyWater csoport hackere lehet, aki hanyagsága és fokozott online aktivitása miatt került napvilágra. A második lehetőség az, hogy a csoport többi tagja kifejezetten „megvilágította”, hogy elterelje magukról a gyanút. Az IB-csoport mindenesetre folytatja a kutatást, és mindenképpen beszámol annak eredményeiről.
Ami az iráni APT-ket illeti, a sorozatos kiszivárogtatások és kiszivárogtatások után valószínűleg komoly "kikérdezés" vár rájuk – a hackerek kénytelenek lesznek komolyan megváltoztatni eszközeiket, el kell takarítani a nyomokat, és soraikban találni az esetleges "vakondokat". A szakértők nem zárták ki, hogy akár időtúllépést is vállalnának, de egy kis szünet után ismét folytatódtak az iráni APT-támadások.
Forrás: will.com