Gli hacker pro-governativi iraniani hanno grandi problemi. Per tutta la primavera, sconosciuti hanno pubblicato su Telegram "divulgazioni segrete" — informazioni su gruppi APT legati al governo iraniano — OilRig e MuddyWater — i loro strumenti, vittime, connessioni. Ma non di tutti. Ad aprile, gli specialisti di Group-IB hanno scoperto una fuga di indirizzi email dalla corporation turca ASELSAN A.Ş, che produce stazioni radio militari tattiche e sistemi elettronici di difesa per le forze armate turche. Anastasia Tikhonova, responsabile del gruppo di ricerca sulle minacce complesse di Group-IB, e Nikita Rostovtsev, analista junior di Group-IB, hanno descritto l'andamento dell'attacco su ASELSAN A.Ş e trovato un possibile partecipante MuddyWater.
Esposizione tramite Telegram
"La fuga" dei gruppi APT iraniani è iniziata quando un certo Lab Dookhtegan Il codice sorgente di sei strumenti APT34 (nota anche come OilRig e HelixKitten) ha rivelato indirizzi IP e domini coinvolti nelle operazioni, così come i dati di 66 vittime degli hacker, tra cui le aziende Etihad Airways e Emirates National Oil. Inoltre, Lab Dookhtegan ha "svelato" anche informazioni sulle operazioni passate del gruppo e dettagli sui dipendenti del Ministero dell'Informazione e della Sicurezza Nazionale dell'Iran, presumibilmente collegati alle operazioni della formazione. OilRig è un gruppo APT legato all'Iran, attivo da circa il 2014 e che ha come obiettivi organizzazioni governative, finanziarie e militari, oltre a compagnie energetiche e di telecomunicazioni in Medio Oriente e in Cina.
Dopo la diffusione delle informazioni su OilRig, i “leaks” sono continuati: nel dark web e su Telegram è apparsa notizia di un'altra gruppo pro-governativo dall'Iran: MuddyWater. Tuttavia, a differenza del primo leak, questa volta non sono stati pubblicati i codici sorgente ma dump che includono schermate dei sorgenti, dei server di controllo e degli indirizzi IP delle vittime precedenti degli hacker. Questa volta, la responsabilità per la violazione legata a MuddyWater è stata assunta dagli hacker Green Leakers. Gestiscono diversi canali Telegram e siti nel dark web dove pubblicizzano e vendono dati collegati alle operazioni di MuddyWater.
Cyber-spioni del Medio Oriente
MuddyWater è un gruppo attivo dal 2017 nei paesi del Medio Oriente. Ad esempio, come notato dagli specialisti di Group-IB, tra febbraio e aprile 2019 gli hacker hanno condotto una serie di attacchi di phishing mirati a organizzazioni governative, educative, finanziarie, telecomunicazioni e aziende della difesa in Turchia, Iran, Afghanistan, Iraq e Azerbaijan.
I membri del gruppo utilizzano un backdoor di loro sviluppo basato su PowerShell, chiamato POWERSTATS. Può:
- raccogliere dati su conti locali e di dominio, server di file disponibili, indirizzo IP interno ed esterno, nome e architettura del sistema operativo;
- eseguire codice in remoto;
- eseguire caricamento e scaricamento di file tramite C&C;
- identificare la presenza di strumenti di debug utilizzati nell'analisi di file dannosi;
- disabilitare il sistema se vengono trovati strumenti per l'analisi di file dannosi;
- eliminare file dai dischi locali;
- catturare screenshot;
- disattivare le misure di protezione dei prodotti Microsoft Office.
In un certo momento, i malintenzionati hanno commesso un errore e i ricercatori di ReaQta sono riusciti a ottenere l'indirizzo IP finale, che si trovava a Teheran. Considerando gli obiettivi attaccati dal gruppo e le sue attività legate alla cyberspionaggio, gli esperti hanno ipotizzato che il gruppo rappresentasse gli interessi del governo iraniano.
Indicatori di attaccoC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
File:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
La Turchia nel mirino
Il 10 aprile 2019, gli esperti di Group-IB hanno scoperto una fuga di indirizzi email dell'azienda turca ASELSAN A.Ş, il principale produttore di elettronica militare in Turchia. Tra i suoi prodotti ci sono radar, apparecchiature elettroniche, optoelettronica, avionic, sistemi senza pilota, sistemi terrestri, navali e d’arma, oltre a sistemi di difesa aerea.
Analizzando un nuovo campione del malware POWERSTATS, gli esperti di Group-IB hanno stabilito che il gruppo di criminali informatici MuddyWater ha utilizzato un accordo di licenza tra Koç Savunma, produttore di soluzioni in tecnologia dell'informazione e difesa, e il centro di ricerca sulla sicurezza informatica e tecnologie avanzate Tubitak Bilgem come documento di phishing. Il contatto per Koç Savunma era Tahir Taner Tımış, che ha ricoperto il ruolo di Programs Manager in Koç Bilgi ve Savunma Teknolojileri A.Ş. da settembre 2013 a dicembre 2018. Successivamente ha iniziato a lavorare in ASELSAN A.Ş.
Esempio di documento di phishing
Dopo che l'utente attiva i macro dannosi, nel computer della vittima viene scaricato il backdoor POWERSTATS.
Grazie ai metadata di questo documento di trappola (MD5: 0638adf8fb4095d60fbef190a759aa9e) i ricercatori hanno trovato tre campioni aggiuntivi con valori identici, tra cui data e ora di creazione, nome utente e l'elenco dei macro contenuti:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Screenshot dei metadata identici di vari documenti di trappola
Uno dei documenti trovati con il nome ListOfHackedEmails.doc contiene un elenco di 34 indirizzi email appartenenti al dominio @aselsan.com.tr.
Gli specialisti di Group-IB hanno verificato gli indirizzi email nelle fughe di dati pubblicamente disponibili e hanno scoperto che 28 di essi erano stati compromessi in fughe precedentemente identificate. L'analisi di un mix di fughe di dati disponibili ha mostrato circa 400 login unici associati a questo dominio e le relative password. È possibile che gli aggressori abbiano utilizzato queste informazioni di accesso per attaccare l'azienda ASELSAN A.Ş.
Screenshot del documento ListOfHackedEmails.doc
Screenshot di un elenco di oltre 450 coppie di login-password trovate in fughe di dati pubbliche
Tra i campioni trovati c'era anche un documento con il titolo F35-Specifications.doc, collegato al cacciatore F-35. Il documento di ingegneria è una specifica per i caccia-bombardieri multifunzionali F-35 con le relative caratteristiche e prezzi. Il tema di questo documento è direttamente connesso al rifiuto degli Stati Uniti di fornire gli F-35 dopo che la Turchia ha acquistato i sistemi S-400 e alle minacce di trasferire informazioni sui F-35 Lightning II alla Russia.
Tutti i dati raccolti indicavano che il principale obiettivo degli attacchi informatici di MuddyWater erano le organizzazioni situate in Turchia.
Chi sono Gladiyator_CRK e Nima Nikjoo?
In precedenza, a marzo 2019, sono stati trovati documenti dannosi creati da un utente Windows con il nome Gladiyator_CRK. Questi documenti diffondevano anche un backdoor chiamato POWERSTATS e si collegavano a un server C&C con un nome simile. gladiyator[.]tk.
È possibile che ciò sia stato fatto dopo che il 14 marzo 2019 l'utente Nima Nikjoo ha pubblicato un tweet in cui tentava di decodificare del codice offuscato legato a MuddyWater. Nei commenti a questo tweet, il ricercatore ha detto di non poter condividere gli indicatori di compromissione di questo malware, poiché queste informazioni sono riservate. Purtroppo, il tweet è stato già rimosso, ma ne rimangono delle tracce sul web:
Nima Nikjoo è il proprietario del profilo Gladiyator_CRK su piattaforme video iraniane quali dideo.ir e videoi.ir. Su questo sito dimostra PoC di exploit per disattivare programmi antivirus di vari fornitori e per eludere le sandbox. A proposito di sé, Nima Nikjoo afferma di essere un esperto in sicurezza di rete, nonché un reverse engineer e analista di malware, che lavora per MTN Irancell — un'azienda di telecomunicazioni iraniana.
Screenshot dei video salvati nei risultati di ricerca di Google:
In seguito, il 19 marzo 2019, l'utente Nima Nikjoo ha cambiato il suo nome su Twitter in Malware Fighter e ha anche eliminato post e commenti correlati. Il profilo Gladiyator_CRK su dideo.ir è stato anch'esso rimosso, così come su YouTube, e il profilo stesso è stato rinominato in N Tabrizi. Tuttavia, quasi un mese dopo (il 16 aprile 2019), l'account Twitter ha ripreso a utilizzare il nome Nima Nikjoo.
Durante lo studio, gli esperti di Group-IB hanno scoperto che Nima Nikjoo era già stato menzionato in relazione ad attività cybercriminali. Nell'agosto 2014, nel blog Iran Khabarestan, è stata pubblicata un'informazione riguardante le persone collegate al gruppo cybercriminale Iranian Nasr Institute. In uno degli studi di FireEye si affermava che il Nasr Institute era un contraente di APT33 e aveva partecipato a attacchi DDoS contro banche americane tra il 2011 e il 2013 nell'ambito di una campagna chiamata Operation Ababil.
Infatti, nello stesso blog veniva menzionato Nima Nikju-Nikjoo, che sviluppava malware per spiare gli iraniani, e il suo indirizzo email: gladiyator_cracker@yahoo[.]com.
Screenshot dei dati relativi ai cybercriminali dell'Iranian Nasr Institute:
Traduzione del testo evidenziato in russo: Nima Nikjoo — Sviluppatore di software malevolo — Indirizzo email:.
Come si evince da queste informazioni, l'indirizzo email è collegato all'indirizzo utilizzato negli attacchi e dagli utenti Gladiyator_CRK e Nima Nikjoo.
Inoltre, in un articolo del 15 giugno 2017, si affermava che Nikjoo fosse stato piuttosto negligente nel pubblicare collegamenti all'azienda Kavosh Security Center nel suo curriculum. Ci sono , che l'organizzazione Kavosh Security Center sia sostenuta dallo stato iraniano per finanziare hacker pro-governativi.
Informazioni sull'azienda in cui ha lavorato Nima Nikjoo:
Nel profilo LinkedIn di un utente di Twitter, Nima Nikjoo indica come prima esperienza lavorativa il Kavosh Security Center, dove ha lavorato dal 2006 al 2014. Durante questo periodo ha studiato vari malware e si è occupato di reverse engineering e di attività legate all'offuscamento.
Informazioni sull'azienda in cui ha lavorato Nima Nikjoo, su LinkedIn:
MuddyWater e un'elevata autovalutazione
È interessante notare che il gruppo MuddyWater monitora attentamente tutti i rapporti e i commenti degli esperti di sicurezza informatica pubblicati su di loro, e ha persino lasciato inizialmente falsi segnali per depistare i ricercatori. Ad esempio, i loro primi attacchi hanno confuso gli esperti, poiché è stato scoperto l'uso di DNS Messenger, comunemente associato al gruppo FIN7. In altri attacchi, hanno inserito nel codice stringhe in cinese.
Inoltre, il gruppo ama molto lasciare messaggi ai ricercatori. Ad esempio, non gli è piaciuto che il "Laboratorio Kaspersky" li abbia collocati al 3° posto nel suo rapporto sulle minacce dell'anno. Nel frattempo, qualcuno — presumibilmente il gruppo MuddyWater — ha caricato su YouTube un proof of concept (PoC) di un exploit che disattiva l'antivirus di "LK". Hanno anche lasciato un commento sotto l'articolo.
Screenshot del video che disattiva l'antivirus del "Laboratorio Kaspersky" e del commento sotto di esso:
È difficile fare un'affermazione chiara sulla connessione con «Nima Nikjoo». Gli esperti di Group-IB stanno considerando due versioni. Nima Nikjoo potrebbe effettivamente essere un hacker del gruppo MuddyWater, che è emerso a causa della sua negligenza e dell'attività elevata online. L'altra possibilità è che sia stato “svelato” da altri membri del gruppo per deviare i sospetti. In ogni caso, Group-IB continua la sua ricerca e comunicherà sicuramente i risultati.
Per quanto riguarda gli APT iraniani, dopo una serie di fughe di notizie e leak, probabilmente dovranno affrontare un serio «rapporto di volo» — gli hacker saranno costretti a cambiare seriamente i loro strumenti, cancellare le tracce e identificare i possibili «talpe» all'interno. Gli esperti non escludono che possano anche prendersi una pausa, ma dopo una breve interruzione, gli attacchi APT iraniani sono ripresi.
Fonte: habr.com
