Gli hacker filogovernativi iraniani sono in grossi guai. Per tutta la primavera, sconosciuti hanno pubblicato su Telegram "fughe di notizie segrete" - informazioni sui gruppi APT associati al governo iraniano - Piattaforma petrolifera и Acqua fangosa - i loro strumenti, vittime, connessioni. Ma non per tutti. Nel mese di aprile gli specialisti del Gruppo IB hanno scoperto una fuga di indirizzi postali della società turca ASELSAN A.Ş, che produce radio militari tattiche e sistemi di difesa elettronici per le forze armate turche. Anastasia Tikhonova, Leader del team di ricerca sulle minacce avanzate del Gruppo IB e Nikita Rostovcev, analista junior del Group-IB, ha descritto lo svolgimento dell'attacco ad ASELSAN A.Ş e ha individuato un possibile partecipante Acqua fangosa.
Illuminazione tramite Telegram
La fuga di notizie dai gruppi APT iraniani è iniziata con il fatto che un certo Lab Doukhtegan i codici sorgente di sei strumenti APT34 (aka OilRig e HelixKitten), hanno rivelato gli indirizzi IP e i domini coinvolti nelle operazioni, nonché dati su 66 vittime di hacker, tra cui Etihad Airways ed Emirates National Oil. Lab Doookhtegan ha anche fatto trapelare dati sulle operazioni passate del gruppo e informazioni sui dipendenti del Ministero iraniano dell’Informazione e della Sicurezza Nazionale presumibilmente associati alle operazioni del gruppo. OilRig è un gruppo APT legato all'Iran che esiste dal 2014 circa e prende di mira organizzazioni governative, finanziarie e militari, nonché società energetiche e di telecomunicazioni in Medio Oriente e Cina.
Dopo che OilRig è stato smascherato, le fughe di notizie sono continuate: informazioni sulle attività di un altro gruppo pro-statale iraniano, MuddyWater, sono apparse sulla darknet e su Telegram. Tuttavia, a differenza della prima fuga di notizie, questa volta non sono stati pubblicati i codici sorgente, ma dei dump, inclusi screenshot dei codici sorgente, server di controllo e indirizzi IP delle vittime passate degli hacker. Questa volta, gli hacker di Green Leakers si sono presi la responsabilità della fuga di notizie su MuddyWater. Possiedono diversi canali Telegram e siti darknet dove pubblicizzano e vendono dati relativi alle operazioni di MuddyWater.
Spie informatiche dal Medio Oriente
Acqua fangosa è un gruppo attivo dal 2017 in Medio Oriente. Ad esempio, come notano gli esperti di Group-IB, da febbraio ad aprile 2019, gli hacker hanno effettuato una serie di messaggi di phishing rivolti a governi, organizzazioni educative, società finanziarie, di telecomunicazioni e di difesa in Turchia, Iran, Afghanistan, Iraq e Azerbaigian.
I membri del gruppo utilizzano una backdoor di loro sviluppo basata su PowerShell, chiamata POTENZE. Lui può:
- raccogliere dati su account locali e di dominio, file server disponibili, indirizzi IP interni ed esterni, nome e architettura del sistema operativo;
- eseguire l'esecuzione del codice in modalità remota;
- caricare e scaricare file tramite C&C;
- rilevare la presenza di programmi di debug utilizzati nell'analisi di file dannosi;
- spegnere il sistema se vengono trovati programmi per l'analisi di file dannosi;
- eliminare file dalle unità locali;
- acquisire screenshot;
- disattivare le misure di sicurezza nei prodotti Microsoft Office.
Ad un certo punto gli aggressori hanno commesso un errore e i ricercatori di ReaQta sono riusciti a ottenere l’indirizzo IP finale, che si trovava a Teheran. Considerati gli obiettivi attaccati dal gruppo, nonché i suoi obiettivi legati allo spionaggio informatico, gli esperti hanno suggerito che il gruppo rappresenta gli interessi del governo iraniano.
Indicatori di attaccoC&C:
- gladiatore[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
file:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Turchia sotto attacco
Il 10 aprile 2019 gli specialisti del Gruppo-IB hanno scoperto una fuga di indirizzi postali della società turca ASELSAN A.Ş, la più grande azienda nel campo dell'elettronica militare in Turchia. I suoi prodotti comprendono radar ed elettronica, elettro-ottica, avionica, sistemi senza pilota, sistemi terrestri, navali, d'arma e di difesa aerea.
Studiando uno dei nuovi campioni del malware POWERSTATS, gli esperti di Group-IB hanno stabilito che il gruppo di aggressori MuddyWater ha utilizzato come esca un documento di licenza tra Koç Savunma, un'azienda che produce soluzioni nel campo delle tecnologie dell'informazione e della difesa, e Tubitak Bilgem , un centro di ricerca sulla sicurezza informatica e sulle tecnologie avanzate. La persona di contatto per Koç Savunma era Tahir Taner Tımış, che ricopriva la posizione di responsabile dei programmi presso Koç Bilgi ve Savunma Teknolojileri A.Ş. da settembre 2013 a dicembre 2018. Successivamente ha iniziato a lavorare presso ASELSAN A.Ş.
Esempio di documento di esca
Dopo che l'utente ha attivato le macro dannose, la backdoor POWERSTATS viene scaricata sul computer della vittima.
Grazie ai metadati di questo documento esca (MD5: 0638adf8fb4095d60fbef190a759aa9e) i ricercatori sono riusciti a trovare tre campioni aggiuntivi contenenti valori identici, tra cui la data e l'ora di creazione, il nome utente e un elenco di macro contenute:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifiche.doc (5c6148619abb10bb3789dcfb32f759a6)
Screenshot di metadati identici di vari documenti esca
Uno dei documenti scoperti con il nome ListOfHackedEmails.doc contiene un elenco di 34 indirizzi email appartenenti al dominio @aselsan.com.tr.
Gli specialisti di Group-IB hanno controllato gli indirizzi e-mail presenti nelle fughe di notizie disponibili pubblicamente e hanno scoperto che 28 di essi erano compromessi in fughe di notizie scoperte in precedenza. Il controllo del mix di leak disponibili ha mostrato circa 400 accessi univoci associati a questo dominio e le relative password. È possibile che gli aggressori abbiano utilizzato questi dati disponibili al pubblico per attaccare ASELSAN A.Ş.
Screenshot del documento ListOfHackedEmails.doc
Screenshot di un elenco di oltre 450 coppie login-password rilevate in leak pubblici
Tra i campioni rinvenuti c'era anche un documento con il titolo F35-Specifiche.doc, riferendosi all'aereo da caccia F-35. Il documento esca è una specifica per il cacciabombardiere multiruolo F-35, che indica le caratteristiche e il prezzo dell'aereo. L'argomento di questo documento esca si riferisce direttamente al rifiuto degli Stati Uniti di fornire gli F-35 dopo l'acquisto dei sistemi S-400 da parte della Turchia e alla minaccia di trasferire informazioni sull'F-35 Lightning II alla Russia.
Tutti i dati ricevuti indicano che gli obiettivi principali degli attacchi informatici di MuddyWater erano organizzazioni situate in Turchia.
Chi sono Gladiyator_CRK e Nima Nikjoo?
In precedenza, nel marzo 2019, erano stati scoperti documenti dannosi creati da un utente Windows con il nickname Gladiyator_CRK. Questi documenti distribuivano anche la backdoor POWERSTATS e si collegavano a un server C&C con un nome simile gladiatore[.]tk.
Ciò potrebbe essere stato fatto dopo che l'utente Nima Nikjoo ha pubblicato su Twitter il 14 marzo 2019, tentando di decodificare il codice offuscato associato a MuddyWater. Nei commenti a questo tweet, il ricercatore ha affermato di non poter condividere gli indicatori di compromissione di questo malware, poiché queste informazioni sono confidenziali. Purtroppo il post è già stato cancellato, ma ne restano tracce online:
Nima Nikjoo è il proprietario del profilo Gladiyator_CRK sui siti di hosting video iraniani dideo.ir e videoi.ir. In questo sito mostra gli exploit PoC per disabilitare gli strumenti antivirus di vari fornitori e bypassare i sandbox. Nima Nikjoo scrive di sé di essere uno specialista della sicurezza di rete, nonché un reverse engineer e analista di malware che lavora per MTN Irancell, una società di telecomunicazioni iraniana.
Screenshot dei video salvati nei risultati di ricerca di Google:
Successivamente, il 19 marzo 2019, l'utente Nima Nikjoo del social network Twitter ha cambiato il suo nickname in Malware Fighter e ha anche cancellato post e commenti correlati. Anche il profilo di Gladiyator_CRK sul video hosting dideo.ir è stato cancellato, come nel caso di YouTube, e il profilo stesso è stato rinominato N Tabrizi. Tuttavia, quasi un mese dopo (16 aprile 2019), l'account Twitter ha iniziato a utilizzare nuovamente il nome Nima Nikjoo.
Nel corso dello studio gli specialisti del Gruppo IB hanno scoperto che Nima Nikjoo era già stato menzionato in relazione ad attività criminali informatiche. Nell'agosto 2014, il blog Iran Khabarestan ha pubblicato informazioni su individui associati al gruppo criminale informatico iraniano Nasr Institute. Un'indagine di FireEye ha affermato che il Nasr Institute era un appaltatore di APT33 ed è stato anche coinvolto in attacchi DDoS contro banche statunitensi tra il 2011 e il 2013 come parte di una campagna chiamata Operazione Ababil.
Quindi nello stesso blog è stato menzionato Nima Nikju-Nikjoo, che stava sviluppando malware per spiare gli iraniani, e il suo indirizzo email: gladiyator_cracker@yahoo[.]com.
Screenshot dei dati attribuiti ai criminali informatici dall'Iranian Nasr Institute:
Traduzione del testo evidenziato in russo: Nima Nikio - Sviluppatore di spyware - E-mail:.
Come si può vedere da queste informazioni, l'indirizzo email è associato all'indirizzo utilizzato negli attacchi e agli utenti Gladiyator_CRK e Nima Nikjoo.
Inoltre, l'articolo del 15 giugno 2017 affermava che Nikjoo era stato un po' negligente nel pubblicare riferimenti a Kavosh Security Center nel suo curriculum. Mangiare che il Kavosh Security Center è sostenuto dallo Stato iraniano per finanziare gli hacker filogovernativi.
Informazioni sull'azienda in cui lavorava Nima Nikjoo:
Il profilo LinkedIn dell'utente Twitter Nima Nikjoo elenca il suo primo posto di lavoro come Kavosh Security Center, dove ha lavorato dal 2006 al 2014. Durante il suo lavoro ha studiato vari malware e si è occupato anche di lavori legati al reverse e all'offuscamento.
Informazioni sull'azienda per cui Nima Nikjoo ha lavorato su LinkedIn:
MuddyWater e alta autostima
È curioso che il gruppo MuddyWater monitori attentamente tutti i rapporti e i messaggi degli esperti di sicurezza informatica pubblicati su di loro, e all'inizio abbia persino lasciato deliberatamente false flag per depistare i ricercatori. I primi attacchi hanno ad esempio ingannato gli esperti rilevando l'utilizzo di DNS Messenger, comunemente associato al gruppo FIN7. In altri attacchi hanno inserito stringhe cinesi nel codice.
Inoltre, il gruppo ama lasciare messaggi ai ricercatori. Ad esempio, non hanno apprezzato il fatto che Kaspersky Lab abbia collocato MuddyWater al 3° posto nella classifica delle minacce per l'anno. Nello stesso momento qualcuno, presumibilmente il gruppo MuddyWater, ha caricato su YouTube un PoC di un exploit che disabilita l'antivirus LK. Hanno anche lasciato un commento sotto l'articolo.
Schermate del video sulla disattivazione dell'antivirus Kaspersky Lab e il commento di seguito:
È ancora difficile trarre una conclusione inequivocabile sul coinvolgimento di “Nima Nikjoo”. Gli esperti del Gruppo IB stanno valutando due versioni. Nima Nikjoo, infatti, potrebbe essere un hacker del gruppo MuddyWater, venuto alla luce a causa della sua negligenza e della crescente attività sulla rete. La seconda opzione è che sia stato deliberatamente “smascherato” da altri membri del gruppo per sviare da loro stessi i sospetti. In ogni caso, Group-IB continua la sua ricerca e riporterà sicuramente i suoi risultati.
Per quanto riguarda le APT iraniane, dopo una serie di fughe di notizie, probabilmente dovranno affrontare un serio "debriefing": gli hacker saranno costretti a cambiare seriamente i loro strumenti, ripulire le loro tracce e trovare possibili "talpe" tra le loro fila. Gli esperti non hanno escluso che si prendesse addirittura una pausa, ma dopo una breve pausa gli attacchi dell'APT iraniana sono continuati.
Fonte: habr.com