Peretas pro-pemerintah Iran ngalami masalah gedhe. Sajrone musim semi, wong sing ora dingerteni nerbitake "bocor rahasia" ing Telegram - informasi babagan grup APT sing ana gandhengane karo pamrentah Iran - OilRig ΠΈ Banyu Muddy - alat, korban, sambungan. Nanging ora babagan kabeh wong. Ing wulan April, spesialis Group-IB nemokake bocor alamat surat saka perusahaan Turki ASELSAN A.Ε, sing ngasilake radio militer taktis lan sistem pertahanan elektronik kanggo angkatan bersenjata Turki. Anastasia Tikhonova, Pimpinan Tim Riset Ancaman Lanjut Group-IB, lan Nikita Rostovtsev, analis junior ing Group-IB, nggambarake serangan ing ASELSAN A.Ε lan nemokake peserta sing bisa Banyu Muddy.
Iluminasi liwat Telegram
Bocor saka klompok APT Iran diwiwiti kanthi kasunyatan manawa Lab Doukhtegan tartamtu kode sumber enem alat APT34 (aka OilRig lan HelixKitten), dicethakakΓ© alamat IP lan domain melu operasi, uga data ing 66 korban peretas, kalebu Etihad Airways lan Emirates National Oil. Lab Doookhtegan uga bocor data babagan operasi lan informasi kepungkur klompok kasebut babagan karyawan Kementerian Informasi lan Keamanan Nasional Iran sing diduga ana hubungane karo operasi grup kasebut. OilRig minangka grup APT sing ana hubungane karo Iran sing wis ana wiwit udakara 2014 lan target organisasi pemerintah, finansial lan militer, uga perusahaan energi lan telekomunikasi ing Timur Tengah lan China.
Sawise OilRig kapapar, bocor terus - informasi babagan kegiatan klompok pro-negara liyane saka Iran, MuddyWater, muncul ing darknet lan Telegram. Nanging, ora kaya bocor pisanan, wektu iki dudu kode sumber sing diterbitake, nanging mbuwang, kalebu gambar kode sumber, server kontrol, uga alamat IP para korban peretas. Wektu iki, peretas Green Leakers tanggung jawab kanggo bocor babagan MuddyWater. Dheweke duwe sawetara saluran Telegram lan situs darknet ing ngendi dheweke ngiklanake lan ngedol data sing ana gandhengane karo operasi MuddyWater.
Mata-mata siber saka Timur Tengah
Banyu Muddy minangka grup sing wis aktif wiwit 2017 ing Timur Tengah. Contone, minangka cathetan ahli Group-IB, wiwit Februari nganti April 2019, peretas nindakake serangkaian surat phishing sing ditujokake kanggo pamrentah, organisasi pendidikan, finansial, telekomunikasi lan perusahaan pertahanan ing Turki, Iran, Afghanistan, Irak lan Azerbaijan.
Anggota grup nggunakake backdoor pembangunan dhewe adhedhasar PowerShell, kang diarani POWERSTATS. Dheweke bisa:
- ngumpulake data babagan akun lokal lan domain, server file sing kasedhiya, alamat IP internal lan eksternal, jeneng lan arsitektur OS;
- nindakake eksekusi kode remot;
- upload lan download file liwat C & C;
- ndeteksi ananΓ© program debugging sing digunakake ing analisis file angkoro;
- mateni sistem yen program kanggo nganalisa file angkoro ditemokake;
- mbusak file saka drive lokal;
- njupuk gambar;
- mateni langkah-langkah keamanan ing produk Microsoft Office.
Ing sawetara titik, panyerang nggawe kesalahan lan peneliti saka ReaQta bisa entuk alamat IP pungkasan, sing ana ing Tehran. Amarga target sing diserang klompok kasebut, uga tujuane sing ana gandhengane karo spionase cyber, para ahli ngusulake manawa klompok kasebut nggambarake kepentingan pamrentah Iran.
Indikator seranganC&C:
- gladiator [.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
File:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
TΓΌrkiye diserang
Tanggal 10 April 2019, spesialis Group-IB nemokake bocor alamat surat perusahaan Turki ASELSAN A.Ε, perusahaan paling gedhe ing bidang elektronik militer ing Turki. Produk kasebut kalebu radar lan elektronik, elektro-optik, avionik, sistem tanpa awak, darat, angkatan laut, senjata lan sistem pertahanan udara.
Sinau salah sawijining conto anyar saka malware POWERSTATS, ahli Group-IB nemtokake manawa klompok penyerang MuddyWater digunakake minangka dokumen umpan perjanjian lisensi antarane KoΓ§ Savunma, perusahaan sing ngasilake solusi ing bidang teknologi informasi lan pertahanan, lan Tubitak Bilgem. , pusat riset keamanan informasi lan teknologi canggih. Wong kontak kanggo KoΓ§ Savunma yaiku Tahir Taner TΔ±mΔ±Ε, sing nyekel posisi Manajer Program ing KoΓ§ Bilgi ve Savunma Teknolojileri A.Ε. wiwit September 2013 nganti Desember 2018. Banjur dheweke wiwit kerja ing ASELSAN A.Ε.
Sampel dokumen decoy
Sawise pangguna ngaktifake macro angkoro, backdoor POWERSTATS diundhuh menyang komputer korban.
Thanks kanggo metadata dokumen umpan iki (MD5: 0638adf8fb4095d60fbef190a759aa9e) peneliti bisa nemokake telung conto tambahan sing ngemot nilai sing padha, kalebu tanggal lan wektu nggawe, jeneng pangguna, lan dhaptar makro sing ana:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Spesifikasi.doc (5c6148619abb10bb3789dcfb32f759a6)
Screenshot metadata identik saka macem-macem dokumen decoy
Salah sawijining dokumen sing ditemokake kanthi jeneng ListOfHackedEmails.doc ngemot dhaptar 34 alamat email sing ana ing domain kasebut @aselsan.com.tr.
Spesialis Group-IB mriksa alamat email ing bocor sing kasedhiya kanggo umum lan nemokake manawa 28 kasebut dikompromi ing bocor sing ditemokake sadurunge. Priksa campuran bocor sing kasedhiya nuduhake udakara 400 login unik sing ana gandhengane karo domain lan sandhi iki. Bisa uga panyerang nggunakake data sing kasedhiya kanggo umum kanggo nyerang ASELSAN A.Ε.
Screenshot saka dokumen ListOfHackedEmails.doc
Screenshot saka dhaptar luwih saka 450 pasangan login-sandi sing dideteksi ing bocor umum
Ing antarane conto sing ditemokake uga ana dokumen kanthi judhul F35-Spesifikasi.doc, nuduhake jet tempur F-35. Dokumen umpan minangka spesifikasi kanggo F-35 multi-role fighter-bomber, sing nuduhake karakteristik lan rega pesawat kasebut. Topik dokumen decoy iki langsung ana hubungane karo penolakan AS kanggo nyedhiyakake F-35 sawise Turki tuku sistem S-400 lan ancaman transfer informasi babagan F-35 Lightning II menyang Rusia.
Kabeh data sing ditampa nuduhake yen target utama serangan cyber MuddyWater yaiku organisasi sing ana ing Turki.
Sapa Gladiyator_CRK lan Nima Nikjoo?
Sadurunge, ing Maret 2019, dokumen jahat ditemokake digawe dening pangguna Windows kanthi jeneng Gladiyator_CRK. Dokumen kasebut uga nyebarake POWERSTATS backdoor lan disambungake menyang server C&C kanthi jeneng sing padha gladiator [.]tk.
Iki bisa uga ditindakake sawise pangguna Nima Nikjoo ngirim ing Twitter tanggal 14 Maret 2019, nyoba ngode kode sing ora ana gandhengane karo MuddyWater. Ing komentar ing tweet iki, peneliti ujar manawa dheweke ora bisa nuduhake indikator kompromi kanggo malware iki, amarga informasi iki rahasia. Sayange, kiriman kasebut wis dibusak, nanging jejak kasebut tetep online:
Nima Nikjoo minangka pemilik profil Gladiyator_CRK ing situs hosting video Iran dideo.ir lan videoi.ir. Ing situs iki, dheweke nuduhake eksploitasi PoC kanggo mateni alat antivirus saka macem-macem vendor lan ngliwati kothak wedhi. Nima Nikjoo nulis babagan awake dhewe yen dheweke minangka spesialis keamanan jaringan, uga insinyur terbalik lan analis malware sing kerja ing MTN Irancell, perusahaan telekomunikasi Iran.
Screenshot video sing disimpen ing asil panelusuran Google:
Mengko, tanggal 19 Maret 2019, pangguna Nima Nikjoo ing jejaring sosial Twitter ngganti jeneng dadi Malware Fighter, lan uga mbusak kiriman lan komentar sing ana gandhengane. Profil Gladiyator_CRK ing video hosting dideo.ir uga dibusak, kaya sing kedadeyan ing YouTube, lan profil kasebut dijenengi N Tabrizi. Nanging, meh sewulan sabanjure (16 April 2019), akun Twitter kasebut wiwit nggunakake jeneng Nima Nikjoo maneh.
Sajrone panliten kasebut, spesialis Group-IB nemokake manawa Nima Nikjoo wis kasebut ing hubungane karo kegiatan cybercriminal. Ing wulan Agustus 2014, blog Iran Khabarestan nerbitake informasi babagan individu sing digandhengake karo klompok cybercriminal Iranian Nasr Institute. Siji penyelidikan FireEye nyatakake yen Institut Nasr minangka kontraktor kanggo APT33 lan uga melu serangan DDoS ing bank-bank AS antarane 2011 lan 2013 minangka bagΓ©an saka kampanye sing disebut Operasi Ababil.
Dadi ing blog sing padha, Nima Nikju-Nikjoo kasebut, sing ngembangake malware kanggo Spy wong Iran, lan alamat email: gladiator_cracker@yahoo[.]com.
Screenshot data sing digandhengake karo penjahat cyber saka Institut Nasr Iran:
Terjemahan teks sing disorot menyang basa Rusia: Nima Nikio - Pengembang Spyware - Email:.
Minangka bisa dideleng saka informasi iki, alamat email digandhengake karo alamat sing digunakake ing serangan lan pangguna Gladiyator_CRK lan Nima Nikjoo.
Kajaba iku, artikel 15 Juni 2017 nyatakake yen Nikjoo rada ceroboh ngirim referensi menyang Pusat Keamanan Kavosh ing resume. mangan manawa Pusat Keamanan Kavosh didhukung dening negara Iran kanggo mbiayai peretas pro-pemerintah.
Informasi babagan perusahaan ing ngendi Nima Nikjoo kerja:
Profil LinkedIn pangguna Twitter Nima Nikjoo nyathet papan kerja pertama minangka Pusat Keamanan Kavosh, ing ngendi dheweke kerja wiwit taun 2006 nganti 2014. Sajrone karyane, dheweke sinau macem-macem malware, lan uga ngurusi karya sing gegandhengan karo reverse lan obfuscation.
Informasi babagan perusahaan Nima Nikjoo makarya ing LinkedIn:
MuddyWater lan harga diri sing dhuwur
Iku curious sing grup MuddyWater kasebut kanthi teliti, ngawasi kabeh laporan lan pesen saka ahli keamanan informasi diterbitake bab mau, lan malah sengaja ninggalake panji palsu ing kawitan supaya uncalan peneliti mati gondho. Contone, serangan pisanane nyasarake para ahli kanthi ndeteksi panggunaan DNS Messenger, sing umum digandhengake karo grup FIN7. Ing serangan liyane, dheweke nglebokake senar Cina menyang kode kasebut.
Kajaba iku, grup kasebut seneng ninggalake pesen kanggo peneliti. Contone, dheweke ora seneng yen Kaspersky Lab nempatake MuddyWater ing posisi kaping 3 ing peringkat ancaman kanggo taun kasebut. Ing wektu sing padha, ana wong - bisa uga grup MuddyWater - ngunggah PoC eksploitasi menyang YouTube sing mateni antivirus LK. Dheweke uga ninggalake komentar ing artikel kasebut.
Gambar video babagan mateni antivirus Kaspersky Lab lan komentar ing ngisor iki:
Isih angel nggawe kesimpulan sing ora jelas babagan keterlibatan "Nima Nikjoo". Pakar Group-IB nimbang rong versi. Nima Nikjoo, pancen, bisa uga dadi peretas saka grup MuddyWater, sing ditemokake amarga kelalaian lan tambah aktivitas ing jaringan. Opsi kapindho yaiku dheweke sengaja "diekspos" dening anggota grup liyane kanggo ngalihake rasa curiga saka awake dhewe. Ing kasus apa wae, Group-IB nerusake riset lan mesthi bakal nglaporake asile.
Kanggo APT Iran, sawise pirang-pirang bocor lan bocor, mesthine bakal ngadhepi "debriefing" sing serius - peretas bakal kepeksa ngganti alat kanthi serius, ngresiki trek lan nemokake kemungkinan "mol" ing rangking. Para ahli ora mbantah manawa dheweke bakal mandheg, nanging sawise istirahat sedhela, serangan APT Iran terus maneh.
Source: www.habr.com