Peretas pro-pemerintah Iran berada dalam masalah besar. Sepanjang musim semi, orang tak dikenal menerbitkan “kebocoran rahasia” di Telegram – informasi tentang kelompok APT yang terkait dengan pemerintah Iran – Alat pengebor minyak и Air berlumpur — alat, korban, koneksi mereka. Tapi tidak tentang semua orang. Pada bulan April, spesialis Group-IB menemukan kebocoran alamat surat perusahaan Turki ASELSAN A.Ş, yang memproduksi radio militer taktis dan sistem pertahanan elektronik untuk angkatan bersenjata Turki. Anastasia Tikhonova, Ketua Tim Riset Ancaman Tingkat Lanjut Grup-IB, dan Nikita Rostovtsev, analis junior di Group-IB, menjelaskan jalannya serangan terhadap ASELSAN A.Ş dan menemukan kemungkinan pesertanya Air berlumpur.
Pencahayaan melalui Telegram
Kebocoran kelompok APT Iran dimulai dengan fakta bahwa Lab Doukhtegan tertentu kode sumber enam alat APT34 (alias OilRig dan HelixKitten), mengungkapkan alamat IP dan domain yang terlibat dalam operasi, serta data 66 korban peretas, termasuk Etihad Airways dan Emirates National Oil. Lab Doookhtegan juga membocorkan data tentang operasi kelompok tersebut di masa lalu dan informasi tentang pegawai Kementerian Informasi dan Keamanan Nasional Iran yang diduga terkait dengan operasi kelompok tersebut. OilRig adalah grup APT yang terkait dengan Iran dan telah berdiri sejak sekitar tahun 2014 dan menargetkan organisasi pemerintah, keuangan dan militer, serta perusahaan energi dan telekomunikasi di Timur Tengah dan Tiongkok.
Setelah OilRig terungkap, kebocoran terus berlanjut - informasi tentang aktivitas kelompok pro-negara lain dari Iran, MuddyWater, muncul di darknet dan Telegram. Namun berbeda dengan bocoran pertama, kali ini bukan source code yang dipublikasikan, melainkan dump, termasuk screenshot source code, server kontrol, serta alamat IP korban peretas di masa lalu. Kali ini, peretas Green Leakers bertanggung jawab atas kebocoran tentang MuddyWater. Mereka memiliki beberapa saluran Telegram dan situs darknet tempat mereka mengiklankan dan menjual data terkait operasi MuddyWater.
Mata-mata dunia maya dari Timur Tengah
Air berlumpur adalah grup yang aktif sejak tahun 2017 di Timur Tengah. Misalnya, seperti yang dicatat oleh para ahli Group-IB, dari bulan Februari hingga April 2019, peretas melakukan serangkaian surat phishing yang ditujukan kepada pemerintah, organisasi pendidikan, perusahaan keuangan, telekomunikasi, dan pertahanan di Turki, Iran, Afghanistan, Irak, dan Azerbaijan.
Anggota grup menggunakan pintu belakang pengembangan mereka sendiri berdasarkan PowerShell, yang disebut POWERSTAT. Dia bisa:
- mengumpulkan data tentang akun lokal dan domain, server file yang tersedia, alamat IP internal dan eksternal, nama dan arsitektur OS;
- melakukan eksekusi kode jarak jauh;
- mengunggah dan mengunduh file melalui C&C;
- mendeteksi keberadaan program debugging yang digunakan dalam analisis file berbahaya;
- matikan sistem jika ditemukan program untuk menganalisis file berbahaya;
- hapus file dari drive lokal;
- ambil tangkapan layar;
- nonaktifkan langkah-langkah keamanan di produk Microsoft Office.
Pada titik tertentu, penyerang melakukan kesalahan dan peneliti dari ReaQta berhasil mendapatkan alamat IP akhir, yang berlokasi di Teheran. Mengingat target yang diserang oleh kelompok tersebut, serta tujuannya terkait dengan spionase dunia maya, para ahli berpendapat bahwa kelompok tersebut mewakili kepentingan pemerintah Iran.
Indikator seranganS&K:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
File:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Turkiye diserang
Pada 10 April 2019, spesialis Group-IB menemukan kebocoran alamat surat perusahaan Turki ASELSAN A.Ş, perusahaan terbesar di bidang elektronik militer di Turki. Produk-produknya meliputi radar dan elektronik, elektro-optik, avionik, sistem tak berawak, sistem pertahanan darat, angkatan laut, senjata dan udara.
Mempelajari salah satu sampel baru malware POWERSTATS, pakar Group-IB menetapkan bahwa kelompok penyerang MuddyWater menggunakan perjanjian lisensi antara Koç Savunma, sebuah perusahaan yang memproduksi solusi di bidang teknologi informasi dan pertahanan, dan Tubitak Bilgem sebagai dokumen umpan. , pusat penelitian keamanan informasi dan teknologi canggih. Penghubung untuk Koç Savunma adalah Tahir Taner Tımış, yang menjabat sebagai Manajer Program di Koç Bilgi ve Savunma Teknolojileri A.Ş. dari September 2013 hingga Desember 2018. Kemudian dia mulai bekerja di ASELSAN A.Ş.
Contoh dokumen umpan
Setelah pengguna mengaktifkan makro berbahaya, pintu belakang POWERSTATS diunduh ke komputer korban.
Berkat metadata dokumen umpan ini (MD5: 0638adf8fb4095d60fbef190a759aa9e) peneliti dapat menemukan tiga sampel tambahan yang berisi nilai identik, termasuk tanggal dan waktu pembuatan, nama pengguna, dan daftar makro yang terdapat:
- DaftarHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Spesifikasi.doc (5c6148619abb10bb3789dcfb32f759a6)
Tangkapan layar metadata identik dari berbagai dokumen umpan
Salah satu dokumen yang ditemukan dengan nama DaftarHackedEmails.doc berisi daftar 34 alamat email milik domain tersebut @aselsan.com.tr.
Spesialis Group-IB memeriksa alamat email dalam kebocoran yang tersedia untuk umum dan menemukan bahwa 28 di antaranya telah disusupi dalam kebocoran yang ditemukan sebelumnya. Memeriksa campuran kebocoran yang tersedia menunjukkan sekitar 400 login unik yang terkait dengan domain ini dan kata sandinya. Ada kemungkinan bahwa penyerang menggunakan data yang tersedia untuk umum ini untuk menyerang ASELSAN A.Ş.
Tangkapan layar dokumen ListOfHackedEmails.doc
Tangkapan layar dari daftar lebih dari 450 pasangan kata sandi masuk yang terdeteksi dalam kebocoran publik
Di antara sampel yang ditemukan juga terdapat dokumen dengan judul F35-Spesifikasi.doc, mengacu pada jet tempur F-35. Dokumen umpan adalah spesifikasi pesawat pembom tempur multi-peran F-35, yang menunjukkan karakteristik dan harga pesawat tersebut. Topik dokumen umpan ini berkaitan langsung dengan penolakan AS untuk memasok F-35 setelah pembelian sistem S-400 oleh Turki dan ancaman transfer informasi tentang F-35 Lightning II ke Rusia.
Semua data yang diterima menunjukkan bahwa target utama serangan siber MuddyWater adalah organisasi yang berlokasi di Turki.
Siapakah Gladiyator_CRK dan Nima Nikjoo?
Sebelumnya, pada Maret 2019, ditemukan dokumen berbahaya yang dibuat oleh salah satu pengguna Windows dengan nama panggilan Gladiyator_CRK. Dokumen-dokumen ini juga mendistribusikan pintu belakang POWERSTATS dan terhubung ke server C&C dengan nama yang mirip gladiator[.]tk.
Hal ini mungkin dilakukan setelah pengguna Nima Nikjoo memposting di Twitter pada tanggal 14 Maret 2019, mencoba memecahkan kode kode yang dikaburkan terkait dengan MuddyWater. Dalam komentar di tweet ini, peneliti mengatakan bahwa dia tidak dapat membagikan indikator kompromi untuk malware ini, karena informasi ini bersifat rahasia. Sayangnya, postingan tersebut telah dihapus, namun jejaknya tetap online:
Nima Nikjoo adalah pemilik profil Gladiyator_CRK di situs hosting video Iran dideo.ir dan videoi.ir. Di situs ini, ia mendemonstrasikan eksploitasi PoC untuk menonaktifkan alat antivirus dari berbagai vendor dan melewati kotak pasir. Nima Nikjoo menulis tentang dirinya sendiri bahwa dia adalah seorang spesialis keamanan jaringan, serta seorang reverse engineer dan analis malware yang bekerja untuk MTN Irancell, sebuah perusahaan telekomunikasi Iran.
Tangkapan layar video yang disimpan di hasil pencarian Google:
Kemudian, pada 19 Maret 2019, pengguna Nima Nikjoo di jejaring sosial Twitter mengubah nama panggilannya menjadi Malware Fighter, dan juga menghapus postingan dan komentar terkait. Profil Gladiyator_CRK di hosting video dideo.ir juga telah dihapus, seperti halnya di YouTube, dan profil itu sendiri diganti namanya menjadi N Tabrizi. Namun hampir sebulan kemudian (16 April 2019), akun Twitter tersebut kembali menggunakan nama Nima Nikjoo.
Selama penelitian, pakar Group-IB menemukan bahwa Nima Nikjoo telah disebutkan sehubungan dengan aktivitas penjahat dunia maya. Pada bulan Agustus 2014, blog Iran Khabarestan menerbitkan informasi tentang individu yang terkait dengan kelompok penjahat dunia maya Iran Nasr Institute. Investigasi FireEye menyatakan bahwa Nasr Institute adalah kontraktor APT33 dan juga terlibat dalam serangan DDoS terhadap bank-bank AS antara tahun 2011 dan 2013 sebagai bagian dari kampanye yang disebut Operasi Ababil.
Jadi di blog yang sama, disebutkan Nima Nikju-Nikjoo, yang mengembangkan malware untuk memata-matai orang Iran, dan alamat emailnya: gladiyator_cracker@yahoo[.]com.
Tangkapan layar data yang dikaitkan dengan penjahat dunia maya dari Institut Nasr Iran:
Terjemahan teks yang disorot ke dalam bahasa Rusia: Nima Nikio - Pengembang Spyware - Email:.
Seperti yang dapat dilihat dari informasi ini, alamat email tersebut dikaitkan dengan alamat yang digunakan dalam serangan dan pengguna Gladiyator_CRK dan Nima Nikjoo.
Selain itu, artikel tertanggal 15 Juni 2017 menyatakan bahwa Nikjoo agak ceroboh dalam memposting referensi ke Pusat Keamanan Kavosh di resumenya. Makan bahwa Pusat Keamanan Kavosh didukung oleh negara Iran untuk membiayai peretas pro-pemerintah.
Informasi tentang perusahaan tempat Nima Nikjoo bekerja:
Profil LinkedIn pengguna Twitter Nima Nikjoo mencantumkan tempat kerja pertamanya sebagai Pusat Keamanan Kavosh, tempat dia bekerja dari tahun 2006 hingga 2014. Selama bekerja, ia mempelajari berbagai malware, dan juga menangani pekerjaan yang berhubungan dengan pembalikan dan kebingungan.
Informasi tentang perusahaan tempat Nima Nikjoo bekerja di LinkedIn:
MuddyWater dan harga diri yang tinggi
Sangat mengherankan bahwa kelompok MuddyWater dengan hati-hati memantau semua laporan dan pesan dari pakar keamanan informasi yang dipublikasikan tentang mereka, dan bahkan dengan sengaja meninggalkan tanda palsu pada awalnya untuk membuat peneliti tidak mengetahuinya. Misalnya, serangan pertama mereka menyesatkan para ahli dengan mendeteksi penggunaan DNS Messenger, yang umumnya dikaitkan dengan grup FIN7. Dalam serangan lain, mereka memasukkan string berbahasa Mandarin ke dalam kode.
Selain itu, kelompok ini senang meninggalkan pesan untuk para peneliti. Misalnya, mereka tidak menyukai Kaspersky Lab yang menempatkan MuddyWater di peringkat ke-3 dalam peringkat ancamannya untuk tahun ini. Pada saat yang sama, seseorang - mungkin grup MuddyWater - mengunggah PoC eksploitasi ke YouTube yang menonaktifkan antivirus LK. Mereka juga meninggalkan komentar di bawah artikel tersebut.
Tangkapan layar video tentang menonaktifkan antivirus Kaspersky Lab dan komentar di bawah:
Masih sulit untuk membuat kesimpulan yang jelas tentang keterlibatan “Nima Nikjoo”. Pakar Grup-IB sedang mempertimbangkan dua versi. Nima Nikjoo memang mungkin adalah seorang hacker dari grup MuddyWater, yang terungkap karena kelalaiannya dan peningkatan aktivitas di jaringan. Pilihan kedua adalah dia sengaja “diekspos” oleh anggota kelompok lainnya untuk mengalihkan kecurigaan dari diri mereka sendiri. Bagaimanapun, Group-IB melanjutkan penelitiannya dan pasti akan melaporkan hasilnya.
Sedangkan untuk APT Iran, setelah serangkaian kebocoran dan kebocoran, mereka mungkin akan menghadapi “pembekalan” yang serius - peretas akan dipaksa untuk secara serius mengubah alat mereka, membersihkan jejak mereka dan menemukan kemungkinan “tahi lalat” di barisan mereka. Para ahli tidak mengesampingkan bahwa mereka bahkan akan mengambil waktu istirahat, namun setelah istirahat sejenak, serangan APT Iran berlanjut lagi.
Sumber: www.habr.com