Íranskir tölvuþrjótar eru í miklum vandræðum. Allt vorið birti óþekkt fólk „leynilegan leka“ á Telegram - upplýsingar um APT hópa sem tengjast írönskum stjórnvöldum - Olíuborpallur и MuddyWater — verkfæri þeirra, fórnarlömb, tengsl. En ekki um alla. Í apríl uppgötvuðu sérfræðingar Group-IB leka á póstföngum tyrkneska fyrirtækisins ASELSAN A.Ş, sem framleiðir taktísk herútvarp og rafræn varnarkerfi fyrir tyrkneska herinn. Anastasia Tikhonova, Group-IB Advanced Threat Research Team Leader, og Nikita Rostovtsev, yngri sérfræðingur hjá Group-IB, lýsti gangi árásarinnar á ASELSAN A.Ş og fann mögulegan þátttakanda MuddyWater.
Lýsing í gegnum símskeyti
Leki íranskra APT hópa hófst með því að ákveðinn Lab Doukhtegan frumkóðar sex APT34 verkfæra (aka OilRig og HelixKitten), sýndu IP tölur og lén sem taka þátt í aðgerðunum, auk gagna um 66 fórnarlömb tölvuþrjóta, þar á meðal Etihad Airways og Emirates National Oil. Lab Doookhtegan lak einnig gögnum um fyrri starfsemi hópsins og upplýsingar um starfsmenn íranska upplýsinga- og þjóðaröryggisráðuneytisins sem að sögn tengjast starfsemi hópsins. OilRig er APT hópur tengdur Íran sem hefur verið til síðan um 2014 og beinist að stjórnvöldum, fjármála- og hernaðarstofnunum, auk orku- og fjarskiptafyrirtækja í Miðausturlöndum og Kína.
Eftir að OilRig var afhjúpað héldu lekarnir áfram - upplýsingar um starfsemi annars stuðningshóps frá Íran, MuddyWater, birtust á myrkunetinu og á Telegram. Hins vegar, ólíkt fyrsta lekanum, voru það ekki frumkóðarnir sem voru birtir að þessu sinni, heldur sorphaugar, þar á meðal skjáskot af frumkóðanum, stjórnunarþjónum, sem og IP tölur fyrri fórnarlamba tölvuþrjóta. Að þessu sinni tóku tölvuþrjótar Green Leakers ábyrgð á lekanum um MuddyWater. Þeir eiga nokkrar Telegram rásir og darknet síður þar sem þeir auglýsa og selja gögn sem tengjast MuddyWater starfsemi.
Netnjósnarar frá Miðausturlöndum
MuddyWater er hópur sem hefur verið starfandi síðan 2017 í Miðausturlöndum. Til dæmis, eins og sérfræðingar Group-IB benda á, frá febrúar til apríl 2019, sendu tölvuþrjótar röð vefveiðapósta sem beint var að stjórnvöldum, menntastofnunum, fjármála-, fjarskipta- og varnarfyrirtækjum í Tyrklandi, Íran, Afganistan, Írak og Aserbaídsjan.
Hópmeðlimir nota bakdyr eigin þróunar byggða á PowerShell, sem kallast POWERSTATS. Hann getur:
- safna gögnum um staðbundna reikninga og lénsreikninga, tiltæka skráaþjóna, innri og ytri IP tölur, nafn og stýrikerfisarkitektúr;
- framkvæma fjarkóðunarframkvæmd;
- hlaða upp og hlaða niður skrám í gegnum C&C;
- greina tilvist kembiforrita sem notuð eru við greiningu á skaðlegum skrám;
- slökktu á kerfinu ef forrit til að greina skaðlegar skrár finnast;
- eyða skrám af staðbundnum drifum;
- taka skjámyndir;
- slökkva á öryggisráðstöfunum í Microsoft Office vörum.
Á einhverjum tímapunkti gerðu árásarmennirnir mistök og rannsakendum ReaQta tókst að fá endanlega IP tölu, sem var staðsett í Teheran. Í ljósi þeirra skotmarka sem samtökin réðust á, sem og markmiða hans tengdum netnjósnum, hafa sérfræðingar gefið til kynna að hópurinn sé fulltrúi hagsmuna írönsku ríkisstjórnarinnar.
ÁrásarvísarC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Skrár:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye undir árás
Þann 10. apríl 2019 uppgötvuðu sérfræðingar Group-IB leka á póstföngum tyrkneska fyrirtækisins ASELSAN A.Ş, stærsta fyrirtækis á sviði rafeindatækni í hernum í Tyrklandi. Vörur þess eru meðal annars ratsjár og rafeindatækni, rafljóstækni, flugvélar, ómannað kerfi, land-, flota-, vopna- og loftvarnarkerfi.
Með því að rannsaka eitt af nýju sýnunum af POWERSTATS spilliforritinu ákváðu sérfræðingar Group-IB að MuddyWater hópur árásarmanna notaði sem beituskjal leyfissamning milli Koç Savunma, fyrirtækis sem framleiðir lausnir á sviði upplýsinga- og varnartækni, og Tubitak Bilgem. , rannsóknarmiðstöð fyrir upplýsingaöryggi og háþróaða tækni. Tengiliður Koç Savunma var Tahir Taner Tımış, sem gegndi stöðu dagskrárstjóra hjá Koç Bilgi ve Savunma Teknolojileri A.Ş. frá september 2013 til desember 2018. Síðar hóf hann störf hjá ASELSAN A.Ş.
Sýnishorn af tálbeituskjali
Eftir að notandinn hefur virkjað skaðleg fjölva er POWERSTATS bakdyrinu hlaðið niður á tölvu fórnarlambsins.
Þökk sé lýsigögnum þessa blekkingarskjals (MD5: 0638adf8fb4095d60fbef190a759aa9e) Rannsakendur gátu fundið þrjú sýnishorn til viðbótar sem innihéldu eins gildi, þar á meðal stofnunardag og -tíma, notandanafn og lista yfir fjölva sem innihéldu:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Skjáskot af eins lýsigögnum af ýmsum tálbeituskjölum
Eitt af skjölunum sem fundust með nafninu ListOfHackedEmails.doc inniheldur lista yfir 34 netföng sem tilheyra léninu @aselsan.com.tr.
Sérfræðingar Group-IB skoðuðu netföng í leka sem var aðgengileg almenningi og komust að því að 28 þeirra voru í hættu í áður uppgötvuðum leka. Athugun á blöndu tiltækra leka sýndi um 400 einstakar innskráningar tengdar þessu léni og lykilorð fyrir þau. Það er mögulegt að árásarmenn hafi notað þessi opinberu gögn til að ráðast á ASELSAN A.Ş.
Skjáskot af skjalinu ListOfHackedEmails.doc
Skjáskot af lista yfir meira en 450 greind innskráningar-lykilorðspör í opinberum leka
Meðal sýnishorna sem fundust var einnig skjal með titlinum F35-Specifications.doc, sem vísar til F-35 orrustuþotunnar. Beituskjalið er forskrift fyrir F-35 fjölhlutverka orrustusprengjuflugvélina sem gefur til kynna eiginleika og verð flugvélarinnar. Efni þessa blekkingarskjals snýr beint að því að Bandaríkjamenn neituðu að útvega F-35 vélar eftir kaup Tyrklands á S-400 kerfunum og hótuninni um að flytja upplýsingar um F-35 Lightning II til Rússlands.
Öll gögnin sem bárust bentu til þess að helstu skotmörk MuddyWater netárása væru samtök staðsett í Tyrklandi.
Hver eru Gladiyator_CRK og Nima Nikjoo?
Fyrr, í mars 2019, fundust skaðleg skjöl búin til af einum Windows notanda undir gælunafninu Gladiyator_CRK. Þessi skjöl dreifðu einnig POWERSTATS bakdyrunum og tengdust C&C netþjóni með svipuðu nafni gladiyator[.]tk.
Þetta kann að hafa verið gert eftir að notandinn Nima Nikjoo birti á Twitter þann 14. mars 2019, þegar hann reyndi að afkóða óskýran kóða sem tengist MuddyWater. Í athugasemdum við þetta kvak sagði rannsakandinn að hann gæti ekki deilt vísbendingum um málamiðlun vegna þessa spilliforrits, þar sem þessar upplýsingar eru trúnaðarmál. Því miður hefur færslunni þegar verið eytt, en ummerki um hana eru enn á netinu:
Nima Nikjoo er eigandi Gladiyator_CRK prófílsins á írönsku myndbandshýsingarsíðunum dideo.ir og videoi.ir. Á þessari síðu sýnir hann PoC hetjudáð til að slökkva á vírusvarnarverkfærum frá ýmsum söluaðilum og framhjá sandkassa. Nima Nikjoo skrifar um sjálfan sig að hann sé sérfræðingur í netöryggi, auk öfugverkfræðings og spilliforritasérfræðings sem vinnur hjá MTN Irancell, írönsku fjarskiptafyrirtæki.
Skjáskot af vistuðum myndböndum í Google leitarniðurstöðum:
Seinna, 19. mars 2019, breytti notandinn Nima Nikjoo á samfélagsmiðlinum Twitter gælunafni sínu í Malware Fighter og eyddi einnig tengdum færslum og athugasemdum. Prófílnum Gladiyator_CRK á myndbandshýsingunni dideo.ir var einnig eytt, eins og var á YouTube, og prófíllinn sjálfur fékk nafnið N Tabrizi. Hins vegar, tæpum mánuði síðar (16. apríl 2019), byrjaði Twitter reikningurinn að nota nafnið Nima Nikjoo aftur.
Við rannsóknina komust sérfræðingar Group-IB að því að Nima Nikjoo hafði þegar verið nefnd í tengslum við netglæpastarfsemi. Í ágúst 2014 birti bloggið Iran Khabarestan upplýsingar um einstaklinga sem tengjast netglæpahópnum Iranian Nasr Institute. Ein FireEye rannsókn sagði að Nasr Institute væri verktaki fyrir APT33 og tók einnig þátt í DDoS árásum á bandaríska banka á árunum 2011 til 2013 sem hluti af herferð sem kallast Operation Ababil.
Svo í sama bloggi var minnst á Nima Nikju-Nikjoo, sem var að þróa spilliforrit til að njósna um Íran, og netfangið hans: gladiyator_cracker@yahoo[.]com.
Skjáskot af gögnum sem rekja má til netglæpamanna frá írönsku Nasr-stofnuninni:
Þýðing á merkta textanum á rússnesku: Nima Nikio - Spyware Developer - Netfang:.
Eins og sjá má af þessum upplýsingum er netfangið tengt heimilisfanginu sem notað var í árásunum og notendum Gladiyator_CRK og Nima Nikjoo.
Auk þess kom fram í greininni 15. júní 2017 að Nikjoo hafi verið nokkuð kærulaus þegar hann birti tilvísanir í Kavosh öryggismiðstöðina á ferilskrá sinni. Borða að Kavosh öryggismiðstöðin sé studd af íranska ríkinu til að fjármagna tölvuþrjóta sem styðja stjórnvöld.
Upplýsingar um fyrirtækið þar sem Nima Nikjoo starfaði:
LinkedIn prófíl Twitter notandans Nima Nikjoo sýnir fyrsta vinnustað hans sem Kavosh öryggismiðstöð, þar sem hann starfaði frá 2006 til 2014. Meðan á starfi sínu stóð rannsakaði hann ýmis spilliforrit og fékkst einnig við öfugsnúið og skyggnitengda vinnu.
Upplýsingar um fyrirtækið sem Nima Nikjoo vann hjá á LinkedIn:
MuddyWater og mikið sjálfsálit
Það er forvitnilegt að MuddyWater hópurinn fylgist vel með öllum skýrslum og skilaboðum frá upplýsingaöryggissérfræðingum sem birtar eru um þá og skildi jafnvel vísvitandi eftir fölsk fána í fyrstu til að kasta rannsakendum af lyktinni. Til dæmis afvegaleiddu fyrstu árásir þeirra sérfræðinga með því að greina notkun DNS Messenger, sem var almennt tengdur FIN7 hópnum. Í öðrum árásum settu þeir kínverska strengi inn í kóðann.
Að auki elskar hópurinn að skilja eftir skilaboð fyrir rannsakendur. Til dæmis líkaði þeim ekki að Kaspersky Lab setti MuddyWater í 3. sæti í ógnareinkunn sinni fyrir árið. Á sama augnabliki hlóð einhver - væntanlega MuddyWater hópurinn - upp PoC af hetjudáð á YouTube sem gerir LK vírusvörnina óvirka. Þeir skildu líka eftir athugasemd undir greininni.
Skjáskot af myndbandinu um að slökkva á Kaspersky Lab vírusvörn og athugasemdirnar hér að neðan:
Það er enn erfitt að gera ótvíræða niðurstöðu um aðkomu „Nima Nikjoo“. Sérfræðingar Group-IB eru að íhuga tvær útgáfur. Nima Nikjoo gæti vissulega verið tölvuþrjótur úr MuddyWater hópnum, sem kom í ljós vegna vanrækslu sinnar og aukinnar virkni á netinu. Annar kosturinn er sá að hann var vísvitandi „afhjúpaður“ af öðrum meðlimum hópsins til að beina tortryggni frá þeim sjálfum. Í öllum tilvikum heldur Group-IB áfram rannsóknum sínum og mun örugglega tilkynna um niðurstöður sínar.
Hvað varðar íranska APTs, eftir röð leka og leka, munu þeir líklega standa frammi fyrir alvarlegri „skýrsluskýrslu“ - tölvuþrjótar verða neyddir til að skipta alvarlega um verkfæri, hreinsa til og finna mögulega „mól“ í sínum röðum. Sérfræðingar útilokuðu ekki að þeir myndu jafnvel taka sér leikhlé, en eftir stutt hlé héldu írönsku APT-árásirnar aftur áfram.
Heimild: www.habr.com