Իրանցի կառավարամետ հաքերները մեծ դժվարությունների մեջ են. Ամբողջ գարնան ընթացքում անհայտ անձինք Telegram-ում հրապարակել են «գաղտնի արտահոսքեր»՝ տեղեկություններ Իրանի կառավարության հետ կապված APT խմբերի մասին. OilRig и Մադդի Ջուր — նրանց գործիքները, զոհերը, կապերը։ Բայց ոչ բոլորի մասին։ Ապրիլին Group-IB-ի մասնագետները հայտնաբերել են թուրքական ASELSAN A.Ş կորպորացիայի փոստային հասցեների արտահոսք, որը թուրքական զինված ուժերի համար մարտավարական ռազմական ռադիոհաղորդումներ և էլեկտրոնային պաշտպանական համակարգեր է արտադրում։ Անաստասիա Տիխոնովա, Group-IB Advanced Threat Research Team Leader, and Նիկիտա ՌոստովցևGroup-IB-ի կրտսեր վերլուծաբանը նկարագրել է ASELSAN A.Ş-ի վրա հարձակման ընթացքը և գտել հնարավոր մասնակցին։ Մադդի Ջուր.
Լուսավորում Telegram-ի միջոցով
Իրանական APT խմբերի արտահոսքը սկսվել է նրանից, որ ոմն Լաբ Դուխտեգան
OilRig-ի բացահայտումից հետո արտահոսքերը շարունակվեցին. Իրանից մեկ այլ պետականամետ խմբի՝ MuddyWater-ի գործունեության մասին տեղեկությունները հայտնվեցին darknet-ում և Telegram-ում: Սակայն, ի տարբերություն առաջին արտահոսքի, այս անգամ հրապարակվեցին ոչ թե ելակետային կոդերը, այլ աղբարկղերը, ներառյալ սկզբնաղբյուրների, հսկիչ սերվերների սքրինշոթերը, ինչպես նաև հաքերների նախկին զոհերի IP հասցեները: Այս անգամ Green Leakers հաքերները ստանձնեցին MuddyWater-ի մասին արտահոսքի պատասխանատվությունը: Նրանք ունեն մի քանի Telegram ալիքներ և darknet կայքեր, որտեղ նրանք գովազդում և վաճառում են MuddyWater-ի գործառնությունների հետ կապված տվյալներ:
Կիբեր լրտեսներ Մերձավոր Արևելքից
Մադդի Ջուր խումբ է, որը 2017 թվականից գործում է Մերձավոր Արևելքում: Օրինակ, ինչպես նշում են Group-IB-ի փորձագետները, 2019 թվականի փետրվարից մինչև ապրիլ հաքերները մի շարք ֆիշինգային նամակներ են իրականացրել՝ ուղղված Թուրքիայի, Իրանի, Աֆղանստանի, Իրաքի և Ադրբեջանի կառավարության, կրթական կազմակերպությունների, ֆինանսական, հեռահաղորդակցության և պաշտպանական ընկերություններին:
Խմբի անդամներն օգտագործում են PowerShell-ի վրա հիմնված սեփական զարգացման հետին դուռ, որը կոչվում է POWERSSTATS. Նա կարող է:
- հավաքել տվյալներ տեղական և տիրույթի հաշիվների, հասանելի ֆայլերի սերվերների, ներքին և արտաքին IP հասցեների, անվանման և ՕՀ-ի ճարտարապետության մասին.
- իրականացնել կոդի հեռակա կատարում;
- վերբեռնել և ներբեռնել ֆայլերը C&C-ի միջոցով;
- հայտնաբերել վրիպազերծող ծրագրերի առկայությունը, որոնք օգտագործվում են վնասակար ֆայլերի վերլուծության մեջ.
- փակել համակարգը, եթե հայտնաբերվեն վնասակար ֆայլերի վերլուծության ծրագրեր.
- ջնջել ֆայլերը տեղական կրիչներից;
- վերցնել սքրինշոթներ;
- անջատել անվտանգության միջոցները Microsoft Office-ի արտադրանքներում:
Ինչ-որ պահի հարձակվողները սխալվել են, և ReaQta-ի հետազոտողներին հաջողվել է ստանալ վերջնական IP հասցեն, որը գտնվում էր Թեհրանում: Հաշվի առնելով խմբավորման կողմից հարձակման ենթարկված թիրախները, ինչպես նաև կիբերլրտեսության հետ կապված նրա նպատակները, փորձագետները ենթադրել են, որ խումբը ներկայացնում է Իրանի կառավարության շահերը:
Հարձակման ցուցիչներC&C:
- գլադիատոր[.]տկ
- 94.23.148 [.]194
- 192.95.21 [.]28
- 46.105.84 [.]146
- 185.162.235 [.]182
Ֆայլեր:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Թուրքիան հարձակման տակ է
10 թվականի ապրիլի 2019-ին Group-IB-ի մասնագետները հայտնաբերել են թուրքական ASELSAN A.Ş ընկերության փոստային հասցեների արտահոսք՝ Թուրքիայում ռազմական էլեկտրոնիկայի ոլորտում խոշորագույն ընկերության։ Նրա արտադրանքը ներառում է ռադարներ և էլեկտրոնիկա, էլեկտրաօպտիկա, ավիոնիկա, անօդաչու համակարգեր, ցամաքային, ռազմածովային, զենք և հակաօդային պաշտպանության համակարգեր:
Ուսումնասիրելով POWERSTATS չարամիտ ծրագրի նոր նմուշներից մեկը՝ Group-IB-ի փորձագետները պարզեցին, որ հարձակվողների MuddyWater խումբը որպես խայծ օգտագործել է տեղեկատվական և պաշտպանական տեխնոլոգիաների ոլորտում լուծումներ արտադրող ընկերության՝ Koç Savunma-ի և Tubitak Bilgem-ի միջև արտոնագրային պայմանագիրը։ , տեղեկատվական անվտանգության հետազոտական կենտրոն և առաջադեմ տեխնոլոգիաներ։ Koç Savunma-ի կոնտակտային անձը Թահիր Թաներ Թիմիշն էր, ով զբաղեցնում էր Koç Bilgi ve Savunma Teknolojileri A.Ş-ի ծրագրերի ղեկավարի պաշտոնը: 2013 թվականի սեպտեմբերից մինչև 2018 թվականի դեկտեմբեր: Հետագայում աշխատանքի է անցել ASELSAN A.Ş.
Խաբեբա փաստաթղթի նմուշ
Այն բանից հետո, երբ օգտատերը ակտիվացնում է վնասակար մակրոները, POWERSTATS-ի հետևի դուռը ներբեռնվում է տուժածի համակարգչում:
Այս խաբուսիկ փաստաթղթի մետատվյալների շնորհիվ (MD5: 0638adf8fb4095d60fbef190a759aa9e) հետազոտողները կարողացան գտնել երեք լրացուցիչ նմուշներ, որոնք պարունակում էին նույնական արժեքներ, ներառյալ ստեղծման ամսաթիվը և ժամը, օգտվողի անունը և պարունակվող մակրոների ցանկը.
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Տարբեր խաբեբա փաստաթղթերի նույնական մետատվյալների սքրինշոթ
Հայտնաբերված փաստաթղթերից մեկը անունով ListOfHackedEmails.doc պարունակում է տիրույթին պատկանող 34 էլփոստի հասցեների ցանկ @aselsan.com.tr.
Group-IB-ի մասնագետները ստուգել են հանրությանը հասանելի արտահոսքի էլեկտրոնային հասցեները և պարզել, որ դրանցից 28-ը վտանգված են նախկինում հայտնաբերված արտահոսքի պատճառով: Ստուգելով առկա արտահոսքերի խառնուրդը ցույց է տվել մոտ 400 եզակի մուտք՝ կապված այս տիրույթի և գաղտնաբառերի հետ: Հնարավոր է, որ հարձակվողներն օգտագործել են այս հրապարակայնորեն հասանելի տվյալները ASELSAN A.Ş-ի վրա հարձակվելու համար:
ListOfHackedEmails.doc փաստաթղթի էկրանի պատկերը
Հանրային արտահոսքերում հայտնաբերված ավելի քան 450 մուտք-գաղտնաբառ զույգերի ցանկի էկրանի պատկերը
Հայտնաբերված նմուշների թվում եղել է նաև վերնագրով փաստաթուղթ F35-Specifications.doc, նկատի ունենալով F-35 կործանիչը։ Խայծի փաստաթուղթը F-35 բազմանպատակային կործանիչ-ռմբակոծիչի սպեցիֆիկացիա է՝ նշելով ինքնաթիռի բնութագրերը և գինը։ Այս խաբուսիկ փաստաթղթի թեման ուղղակիորեն վերաբերում է Թուրքիայի կողմից S-35 համակարգեր գնելուց հետո F-400-ների մատակարարումից ԱՄՆ-ի հրաժարվելուն և Ռուսաստանին F-35 Lightning II-ի մասին տեղեկատվություն փոխանցելու սպառնալիքին։
Ստացված բոլոր տվյալները ցույց են տվել, որ MuddyWater-ի կիբերհարձակումների հիմնական թիրախը Թուրքիայում տեղակայված կազմակերպություններն են։
Ովքե՞ր են Gladiyator_CRK-ն և Nima Nikjoo-ն:
Ավելի վաղ՝ 2019 թվականի մարտին, հայտնաբերվել էին վնասակար փաստաթղթեր, որոնք ստեղծվել էին Windows-ի օգտատերերից մեկի կողմից՝ Gladiyator_CRK մականունով։ Այս փաստաթղթերը նաև տարածեցին POWERSTATS-ի հետին դուռը և միացվեցին նմանատիպ անունով C&C սերվերին գլադիատոր[.]տկ.
Սա կարող է արվել այն բանից հետո, երբ օգտատեր Նիմա Նիկջուն 14 թվականի մարտի 2019-ին Twitter-ում գրառում է կատարել՝ փորձելով վերծանել MuddyWater-ի հետ կապված մշուշոտ ծածկագիրը: Այս թվիթին տրված մեկնաբանություններում հետազոտողն ասել է, որ չի կարող կիսվել այս չարամիտ ծրագրի փոխզիջման ցուցանիշներով, քանի որ այս տեղեկատվությունը գաղտնի է: Ցավոք, գրառումն արդեն ջնջված է, սակայն դրա հետքերը մնում են առցանց.
Նիմա Նիկջուն իրանական bideo.ir և videoi.ir վիդեոհոսթինգ կայքերում Gladiyator_CRK պրոֆիլի սեփականատերն է: Այս կայքում նա ցուցադրում է PoC շահագործումը՝ տարբեր վաճառողների հակավիրուսային գործիքներն անջատելու և ավազարկղերը շրջանցելու համար: Նիմա Նիկջուն իր մասին գրում է, որ ինքը ցանցային անվտանգության մասնագետ է, ինչպես նաև հակադարձ ինժեներ և չարամիտ ծրագրերի վերլուծաբան, ով աշխատում է իրանական հեռահաղորդակցության MTN Irancell ընկերությունում։
Google-ի որոնման արդյունքներում պահպանված տեսանյութերի սքրինշոթը՝
Ավելի ուշ՝ 19 թվականի մարտի 2019-ին, Twitter սոցիալական ցանցում օգտատեր Nima Nikjoo-ն փոխել է իր մականունը՝ դառնալով Malware Fighter, ինչպես նաև ջնջել հարակից գրառումներն ու մեկնաբանությունները։ Gladiyator_CRK-ի պրոֆիլը վիդեոհոսթինգի dideo.ir-ում նույնպես ջնջվել է, ինչպես դա եղել է YouTube-ում, և պրոֆիլը վերանվանվել է N Tabrizi: Այնուամենայնիվ, գրեթե մեկ ամիս անց (16 թվականի ապրիլի 2019), Twitter-ի էջը նորից սկսեց օգտագործել Nima Nikjoo անունը:
Ուսումնասիրության ընթացքում Group-IB-ի մասնագետները պարզել են, որ Նիմա Նիկջուն արդեն հիշատակվել է կիբերհանցագործությունների հետ կապված։ 2014 թվականի օգոստոսին Iran Khabarestan բլոգը տեղեկատվություն է հրապարակել Իրանի Նասր ինստիտուտի կիբերհանցագործ խմբավորման հետ կապված անձանց մասին: FireEye-ի մեկ հետաքննությունը հայտարարեց, որ Nasr ինստիտուտը կապալառու էր APT33-ի համար և նաև ներգրավված է եղել ԱՄՆ բանկերի վրա DDoS հարձակումներին 2011-ից 2013 թվականներին՝ որպես Operation Ababil կոչվող արշավի մի մաս:
Այսպիսով, նույն բլոգում հիշատակվում էր Նիմա Նիկջու-Նիկջուն, ով մշակում էր չարամիտ ծրագրեր՝ լրտեսելու իրանցիներին, և նրա էլեկտրոնային հասցեն՝ gladiyator_cracker@yahoo[.]com:
Իրանական Nasr ինստիտուտի կիբերհանցագործներին վերագրվող տվյալների սքրինշոթ.
Նշված տեքստի թարգմանությունը ռուսերեն. Nima Nikio - Լրտեսող ծրագրերի մշակող - Էլ..
Ինչպես երևում է այս տեղեկատվությունից, էլփոստի հասցեն կապված է գրոհների ժամանակ օգտագործված հասցեի և Gladiyator_CRK և Nima Nikjoo օգտատերերի հետ:
Բացի այդ, 15 թվականի հունիսի 2017-ի հոդվածում ասվում էր, որ Նիկջուն որոշ չափով անզգույշ է եղել՝ իր ռեզյումեում «Կավոշ» անվտանգության կենտրոնին հղումներ տեղադրելիս: Ուտել
Տեղեկություններ այն ընկերության մասին, որտեղ աշխատել է Նիմա Նիկջուն.
Twitter-ի օգտատեր Nima Nikjoo-ի LinkedIn-ի պրոֆիլում նշված է նրա առաջին աշխատանքի վայրը՝ որպես Kavosh Security Center, որտեղ նա աշխատել է 2006-ից 2014 թվականներին: Իր աշխատանքի ընթացքում նա ուսումնասիրել է տարբեր չարամիտ ծրագրեր, ինչպես նաև զբաղվել է հակադարձ և անորոշության հետ կապված աշխատանքներով:
Տեղեկություններ ընկերության մասին, որտեղ աշխատել է Նիմա Նիկջուն LinkedIn-ում.
MuddyWater և բարձր ինքնագնահատական
Հետաքրքիր է, որ MuddyWater խումբը ուշադիր հետևում է տեղեկատվական անվտանգության փորձագետների բոլոր զեկույցներին և հաղորդագրություններին, որոնք հրապարակվել են իրենց մասին, և նույնիսկ սկզբում միտումնավոր կեղծ դրոշներ են թողել՝ հետազոտողներին հոտից հեռացնելու համար: Օրինակ, նրանց առաջին հարձակումները մոլորության մեջ գցեցին փորձագետներին՝ հայտնաբերելով DNS Messenger-ի օգտագործումը, որը սովորաբար կապված էր FIN7 խմբի հետ: Այլ հարձակումների ժամանակ նրանք կոդի մեջ տեղադրեցին չինական տողեր:
Բացի այդ, խումբը սիրում է հաղորդագրություններ թողնել հետազոտողների համար: Օրինակ՝ նրանց դուր չի եկել, որ Kaspersky Lab-ը MuddyWater-ին իր սպառնալիքների վարկանիշի 3-րդ տեղում է տեղադրել տարվա համար։ Միևնույն պահին, ինչ-որ մեկը, ենթադրաբար MuddyWater խումբը, վերբեռնեց YouTube-ում գործողության PoC, որն անջատում է LK հակավիրուսը: Նրանք նաև մեկնաբանություն են թողել հոդվածի տակ.
Կասպերսկու լաբորատորիայի հակավիրուսն անջատելու մասին տեսանյութի սքրինշոթները և ստորև ներկայացված մեկնաբանությունը.
Դեռևս դժվար է միանշանակ եզրակացություն անել «Նիմա Նիկջուի» մասնակցության վերաբերյալ։ Group-IB փորձագետները դիտարկում են երկու տարբերակ. Նիմա Նիկջուն, իսկապես, կարող է լինել MuddyWater խմբի հաքեր, ով հայտնվել է լույսի ներքո իր անփութության և ցանցում ակտիվության ավելացման պատճառով: Երկրորդ տարբերակն այն է, որ նա դիտավորյալ «բացահայտվել» է խմբի մյուս անդամների կողմից՝ կասկածը իրենցից շեղելու համար: Ամեն դեպքում, Group-IB-ը շարունակում է իր հետազոտությունները և անպայման կհայտնի դրա արդյունքները։
Ինչ վերաբերում է իրանական APT-ներին, ապա մի շարք արտահոսքերից և արտահոսքերից հետո նրանք, հավանաբար, կբախվեն լուրջ «դեբրիֆինգի»՝ հաքերները ստիպված կլինեն լրջորեն փոխել իրենց գործիքները, մաքրել իրենց հետքերը և գտնել հնարավոր «խալեր» իրենց շարքերում: Փորձագետները չեն բացառել, որ նույնիսկ թայմաութ կվերցնեն, սակայն կարճ ընդմիջումից հետո իրանական APT-ի հարձակումները կրկին շարունակվել են։
Source: www.habr.com