Иранның үкіметшіл хакерлері үлкен қиындыққа тап болды. Көктем бойы белгісіз біреулер Telegram-да «құпия ақпараттарды» жариялады - Иран үкіметімен байланысты APT топтары туралы ақпарат - OilRig и Лайлы су — олардың құралдары, құрбандары, байланыстары. Бірақ барлығы туралы емес. Сәуір айында Group-IB мамандары түрік қарулы күштері үшін тактикалық әскери радиостанциялар мен электронды қорғаныс жүйелерін шығаратын ASELSAN A.Ş түрік корпорациясының пошта мекенжайларының ағып кетуін анықтады. Анастасия Тихонова, Group-IB Advanced Threat Research Team Lider, және Никита Ростовцев, Group-IB кіші талдаушысы ASELSAN A.Ş-ге жасалған шабуылдың барысын сипаттап, ықтимал қатысушыны тапты. Лайлы су.
Telegram арқылы жарықтандыру
Ирандық APT топтарының ағып кетуі белгілі бір Lab Doukhtegan фактісімен басталды алты APT34 құралының (OilRig және HelixKitten) бастапқы кодтары операцияларға қатысатын IP мекенжайлары мен домендерін, сондай-ақ Etihad Airways және Emirates National Oil қоса алғанда, хакерлердің 66 құрбаны туралы деректерді ашты. Lab Doookhtegan сондай-ақ топтың бұрынғы операциялары туралы деректерді және топтың операцияларына қатысы бар делінген Иранның Ақпарат және ұлттық қауіпсіздік министрлігінің қызметкерлері туралы ақпаратты жариялады. OilRig - шамамен 2014 жылдан бері жұмыс істеп келе жатқан және Таяу Шығыстағы және Қытайдағы үкіметтік, қаржылық және әскери ұйымдарды, сондай-ақ энергетика және телекоммуникация компанияларын нысанаға алған Иранмен байланысты APT тобы.
OilRig әшкереленгеннен кейін ақпараттың ағып кетуі жалғасты - Иранның басқа мемлекетшіл тобының қызметі туралы ақпарат MuddyWater darknet және Telegram желісінде пайда болды. Алайда, бірінші ағып кетуден айырмашылығы, бұл жолы бастапқы кодтар емес, бастапқы кодтардың скриншоттары, басқару серверлері, сондай-ақ хакерлердің бұрынғы құрбандарының IP мекенжайлары сияқты дамптар жарияланды. Бұл жолы Green Leakers хакерлері MuddyWater туралы ақпараттың ағып кетуіне жауапкершілікті өз мойнына алды. Олардың бірнеше Telegram арналары мен darknet сайттары бар, оларда MuddyWater операцияларына қатысты деректерді жарнамалайды және сатады.
Таяу Шығыстағы кибер тыңшылар
Лайлы су Таяу Шығыста 2017 жылдан бері белсенді жұмыс істеп келе жатқан топ. Мысалы, Group-IB сарапшылары атап өткендей, хакерлер 2019 жылдың ақпанынан сәуіріне дейін Түркия, Иран, Ауғанстан, Ирак және Әзірбайжандағы үкіметтік, білім беру ұйымдары, қаржы, телекоммуникация және қорғаныс компанияларына бағытталған фишингтік хабарламалар сериясын жүзеге асырды.
Топ мүшелері PowerShell негізіндегі өз дамуының бэкдорын пайдаланады, ол деп аталады ҚҰУАТТАР. Оның қолынан келеді:
- жергілікті және домен тіркелгілері, қолжетімді файл серверлері, ішкі және сыртқы IP мекенжайлары, атауы және ОЖ архитектурасы туралы деректерді жинау;
- қашықтан кодты орындауды жүзеге асыру;
- C&C арқылы файлдарды жүктеп салу және жүктеп алу;
- зиянды файлдарды талдау кезінде қолданылатын жөндеу бағдарламаларының болуын анықтау;
- зиянды файлдарды талдауға арналған бағдарламалар табылса, жүйені өшіріңіз;
- жергілікті дискілерден файлдарды жою;
- скриншоттарды түсіру;
- Microsoft Office өнімдерінде қауіпсіздік шараларын өшіріңіз.
Бір сәтте шабуылдаушылар қателесіп, ReaQta зерттеушілері Теһранда орналасқан соңғы IP мекенжайын ала алды. Бұл топ шабуыл жасаған нысандарды, сондай-ақ оның кибер тыңшылықпен байланысты мақсаттарын ескере отырып, сарапшылар бұл топ Иран үкіметінің мүддесін қорғайды деп болжайды.
Шабуыл көрсеткіштеріC&C:
- гладиатор[.]тк
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Файлдар:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Түркия шабуылда
10 жылдың 2019 сәуірінде Group-IB мамандары Түркиядағы әскери электроника саласындағы ең ірі компания ASELSAN A.Ş түрік компаниясының пошта мекенжайларының ағып кеткенін анықтады. Оның өнімдеріне радиолокациялық және электроника, электро-оптика, авионика, ұшқышсыз жүйелер, құрлық, теңіз, қару-жарақ және әуе шабуылына қарсы қорғаныс жүйелері кіреді.
POWERSTATS зиянды бағдарламасының жаңа үлгілерінің бірін зерттей отырып, Group-IB сарапшылары MuddyWater шабуылдаушылар тобы ақпарат және қорғаныс технологиялары саласында шешімдер шығаратын Koç Savunma компаниясы мен Tubitak Bilgem арасындағы лицензиялық келісімді жем ретінде пайдаланғанын анықтады. , ақпараттық қауіпсіздікті зерттеу орталығы және озық технологиялар. Koç Savunma компаниясының байланыс тұлғасы Koç Bilgi ve Savunma Teknolojileri A.Ş. компаниясында бағдарламалар менеджері қызметін атқарған Тахир Танер Тымыш болды. 2013 жылдың қыркүйегінен 2018 жылдың желтоқсанына дейін. Кейінірек ASELSAN A.Ş.
Құжат үлгісі
Пайдаланушы зиянды макростарды іске қосқаннан кейін, POWERSTATS бэкдоры жәбірленушінің компьютеріне жүктеледі.
Осы алдамшы құжаттың метадеректерінің арқасында (MD5: 0638adf8fb4095d60fbef190a759aa9e) зерттеушілер бірдей мәндерден тұратын үш қосымша үлгіні таба алды, оның ішінде жасалған күні мен уақыты, пайдаланушы аты және құрамындағы макростар тізімі:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-спецификациялар.doc (5c6148619abb10bb3789dcfb32f759a6)
Түрлі алдамшы құжаттардың бірдей метадеректерінің скриншоты
аты бар табылған құжаттардың бірі ListOfHackedEmails.doc доменге жататын 34 электрондық пошта мекенжайларының тізімін қамтиды @aselsan.com.tr.
Group-IB мамандары жалпыға қолжетімді ақпараттардағы электрондық пошта мекенжайларын тексеріп, олардың 28-і бұрын анықталған ағып кетулерде бұзылғанын анықтады. Қол жетімді ағып кетулер қоспасын тексеру осы доменмен байланысты 400-ге жуық бірегей логиндерді және оларға арналған құпия сөздерді көрсетті. Шабуылшылар бұл жалпыға қолжетімді деректерді ASELSAN A.Ş.-ге шабуыл жасау үшін пайдаланған болуы мүмкін.
ListOfHackedEmails.doc құжатының скриншоты
Жалпыға қолжетімді ақпараттардағы 450-ден астам анықталған логин-пароль жұптарының тізімінің скриншоты
Табылған үлгілердің ішінде атауы бар құжат та болған F35-Спецификациялар.doc, F-35 жойғыш ұшағына сілтеме жасай отырып. Жеміс құжаты F-35 көпмақсатты жойғыш-бомбалаушы ұшағына арналған спецификация болып табылады, ол ұшақтың сипаттамалары мен бағасын көрсетеді. Бұл алдамшы құжаттың тақырыбы Түркияның S-35 жүйелерін сатып алғаннан кейін АҚШ-тың F-400-терді жеткізуден бас тартуына және F-35 Lightning II туралы ақпаратты Ресейге беру қаупіне тікелей қатысты.
Барлық алынған деректер MuddyWater кибершабуылдарының негізгі нысанасы Түркияда орналасқан ұйымдар екенін көрсетті.
Gladiyator_CRK және Нима Никжу кімдер?
Бұған дейін, 2019 жылдың наурыз айында Gladiyator_CRK лақап атымен бір Windows пайдаланушысы жасаған зиянды құжаттар анықталған. Бұл құжаттар сонымен қатар POWERSTATS бэкдорын таратып, ұқсас атпен C&C серверіне қосылды гладиатор[.]тк.
Бұл Нима Никжу пайдаланушысы 14 жылдың 2019 наурызында Twitter-де MuddyWater-пен байланысты түсініксіз кодты шешуге әрекеттенгеннен кейін жасалуы мүмкін. Осы твитке түсініктемелерде зерттеуші бұл зиянды бағдарламаның компромисстік көрсеткіштерімен бөлісе алмайтынын айтты, өйткені бұл ақпарат құпия болып табылады. Өкінішке орай, жазба әлдеқашан жойылған, бірақ оның іздері желіде қалады:
Нима Никжу ирандық dideo.ir және videoi.ir видеохостинг сайттарындағы Gladiyator_CRK профилінің иесі. Бұл сайтта ол әртүрлі жеткізушілердің антивирус құралдарын өшіру және құм жәшіктерін айналып өту үшін PoC эксплойттерін көрсетеді. Нима Никжу өзі туралы өзінің желілік қауіпсіздік маманы, сондай-ақ ирандық телекоммуникациялық компания MTN Irancell-де жұмыс істейтін кері инженер және зиянды бағдарлама талдаушысы екенін жазады.
Google іздеу нәтижелерінде сақталған бейнелердің скриншоты:
Кейінірек, 19 жылдың 2019 наурызында Twitter әлеуметтік желісіндегі Nima Nikjoo қолданушысы өзінің лақап атын Malware Fighter деп өзгертті, сонымен қатар тиісті жазбалар мен пікірлерді жойды. dideo.ir видеохостингіндегі Gladiyator_CRK профилі де YouTube-тегідей жойылып, профильдің өзі N Табризи деп өзгертілді. Алайда, бір айға жуық уақыттан кейін (16 жылдың 2019 сәуірі) Twitter аккаунты Нима Никжу есімін қайтадан қолдана бастады.
Зерттеу барысында Group-IB мамандары Нима Никжудың киберқылмыстық әрекеттерге қатысты аты аталғанын анықтады. 2014 жылдың тамыз айында Iran Khabarestan блогында Иран Наср Институты киберқылмыстық тобымен байланысы бар тұлғалар туралы ақпарат жарияланған. Бір FireEye тергеуі Наср институтының APT33-тің мердігері болғанын және 2011 және 2013 жылдар аралығында Ababil операциясы деп аталатын науқан аясында АҚШ банктеріне DDoS шабуылдарына қатысқанын айтты.
Сонымен, сол блогта ирандықтарға тыңшылық жасау үшін зиянды бағдарлама жасап жатқан Нима Никжу-Никжу және оның электрондық пошта мекенжайы: gladiyator_cracker@yahoo[.]com туралы айтылған.
Ирандық Наср институтының киберқылмыскерлеріне қатысты деректердің скриншоты:
Ерекшеленген мәтіннің орыс тіліне аудармасы: Nima Nikio - Шпиондық бағдарламаны әзірлеуші - Электрондық пошта:.
Бұл ақпараттан көрініп тұрғандай, электрондық пошта мекенжайы шабуылдарда пайдаланылған мекенжаймен және Gladiyator_CRK және Nima Nikjoo пайдаланушыларымен байланысты.
Сонымен қатар, 15 жылғы 2017 маусымдағы мақалада Никджу өзінің түйіндемесінде Кавош қауіпсіздік орталығына сілтемелер жариялауда біршама немқұрайлылық танытқаны айтылған. Тамақ Кавош қауіпсіздік орталығына Иран мемлекеті үкіметшіл хакерлерді қаржыландыру үшін қолдау көрсетеді.
Нима Никжу жұмыс істеген компания туралы ақпарат:
Twitter қолданушысы Nima Nikjoo LinkedIn профилінде оның бірінші жұмыс орны 2006 жылдан 2014 жылға дейін жұмыс істеген Кавош қауіпсіздік орталығы деп көрсетілген. Жұмыс барысында ол әртүрлі зиянды бағдарламаларды зерттеді, сонымен қатар кері және шатастыруға байланысты жұмыстармен айналысты.
LinkedIn сайтында Нима Никжу жұмыс істеген компания туралы ақпарат:
MuddyWater және жоғары өзін-өзі бағалау
Бір қызығы, MuddyWater тобы олар туралы жарияланған ақпараттық қауіпсіздік сарапшыларының барлық есептері мен хабарламаларын мұқият қадағалайды, тіпті зерттеушілерді иіссіз қалдыру үшін әдейі жалған жалаушаларды қалдырды. Мысалы, олардың алғашқы шабуылдары әдетте FIN7 тобымен байланыстырылған DNS Messenger қолданбасын пайдалануды анықтау арқылы сарапшыларды адастырды. Басқа шабуылдарда олар кодқа қытай жолдарын енгізді.
Сонымен қатар, топ зерттеушілерге хабарлама қалдыруды жақсы көреді. Мысалы, оларға Касперский зертханасының MuddyWater-ті жылдағы қауіп рейтингінде 3-ші орынға қойғаны ұнамады. Дәл осы сәтте біреу - мүмкін MuddyWater тобы - YouTube-ке LK антивирусын өшіретін эксплойттың PoC-ін жүктеп салды. Мақаланың астына олар да пікір қалдырған.
Kaspersky Lab антивирусын өшіру туралы бейненің скриншоттары және төмендегі түсініктеме:
«Нима Никжу» қатысуы туралы біржақты қорытынды жасау әлі қиын. Group-IB сарапшылары екі нұсқаны қарастыруда. Нима Никжу, шынында да, желідегі немқұрайлылығы мен белсенділігінің арқасында жарыққа шыққан MuddyWater тобының хакері болуы мүмкін. Екінші нұсқа – оны топтың басқа мүшелері өздерінен күдік алыстату үшін әдейі «әшкерелеген». Қалай болғанда да, Group-IB зерттеуін жалғастыруда және оның нәтижелерін міндетті түрде хабарлайды.
Ирандық APT-ке келетін болсақ, бірқатар ағып кетулер мен ағып кетулерден кейін олар елеулі «дебрифингке» тап болуы мүмкін - хакерлер құралдарын байыпты өзгертуге, іздерін тазалауға және өз қатарларынан ықтимал «меңдерді» табуға мәжбүр болады. Сарапшылар тіпті тайм-аут алатынын да жоққа шығармады, бірақ қысқа үзілістен кейін ирандық APT шабуылдары қайта жалғасты.
Ақпарат көзі: www.habr.com