ಇರಾನ್ ಪರ ಸರ್ಕಾರದ ಹ್ಯಾಕರ್ಗಳು ದೊಡ್ಡ ತೊಂದರೆಯಲ್ಲಿದ್ದಾರೆ. ವಸಂತಕಾಲದುದ್ದಕ್ಕೂ, ಅಪರಿಚಿತ ಜನರು ಟೆಲಿಗ್ರಾಮ್ನಲ್ಲಿ "ರಹಸ್ಯ ಸೋರಿಕೆಗಳನ್ನು" ಪ್ರಕಟಿಸಿದರು - ಇರಾನ್ ಸರ್ಕಾರದೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದ APT ಗುಂಪುಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿ - ಎಣ್ಣೆ ಬಾವಿ и ಮಡ್ಡಿ ವಾಟರ್ - ಅವರ ಉಪಕರಣಗಳು, ಬಲಿಪಶುಗಳು, ಸಂಪರ್ಕಗಳು. ಆದರೆ ಎಲ್ಲರ ಬಗ್ಗೆ ಅಲ್ಲ. ಏಪ್ರಿಲ್ನಲ್ಲಿ, ಗ್ರೂಪ್-ಐಬಿ ತಜ್ಞರು ಟರ್ಕಿಶ್ ಕಾರ್ಪೊರೇಷನ್ ASELSAN A.Ş ನ ಮೇಲಿಂಗ್ ವಿಳಾಸಗಳ ಸೋರಿಕೆಯನ್ನು ಕಂಡುಹಿಡಿದರು, ಇದು ಟರ್ಕಿಯ ಸಶಸ್ತ್ರ ಪಡೆಗಳಿಗೆ ಯುದ್ಧತಂತ್ರದ ಮಿಲಿಟರಿ ರೇಡಿಯೋಗಳು ಮತ್ತು ಎಲೆಕ್ಟ್ರಾನಿಕ್ ರಕ್ಷಣಾ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ. ಅನಸ್ತಾಸಿಯಾ ಟಿಖೋನೋವಾ, ಗುಂಪು-IB ಅಡ್ವಾನ್ಸ್ಡ್ ಥ್ರೆಟ್ ರಿಸರ್ಚ್ ಟೀಮ್ ಲೀಡರ್, ಮತ್ತು ನಿಕಿತಾ ರೋಸ್ಟೊವ್ಟ್ಸೆವ್, ಗ್ರೂಪ್-IB ನಲ್ಲಿ ಜೂನಿಯರ್ ವಿಶ್ಲೇಷಕ, ASELSAN A.Ş ಮೇಲಿನ ದಾಳಿಯ ಕೋರ್ಸ್ ಅನ್ನು ವಿವರಿಸಿದರು ಮತ್ತು ಸಂಭವನೀಯ ಪಾಲ್ಗೊಳ್ಳುವವರನ್ನು ಕಂಡುಕೊಂಡರು ಮಡ್ಡಿ ವಾಟರ್.
ಟೆಲಿಗ್ರಾಮ್ ಮೂಲಕ ಬೆಳಕು
ಇರಾನಿನ APT ಗುಂಪುಗಳ ಸೋರಿಕೆಯು ಒಂದು ನಿರ್ದಿಷ್ಟ ಲ್ಯಾಬ್ Douktegan ಎಂಬ ಅಂಶದಿಂದ ಪ್ರಾರಂಭವಾಯಿತು
ಆಯಿಲ್ರಿಗ್ ಅನ್ನು ಬಹಿರಂಗಪಡಿಸಿದ ನಂತರ, ಸೋರಿಕೆಗಳು ಮುಂದುವರೆದವು - ಇರಾನ್ನ ಮತ್ತೊಂದು ಪರ-ರಾಜ್ಯ ಗುಂಪಿನ ಚಟುವಟಿಕೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿ, ಮಡ್ಡಿ ವಾಟರ್, ಡಾರ್ಕ್ನೆಟ್ ಮತ್ತು ಟೆಲಿಗ್ರಾಮ್ನಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡಿತು. ಆದಾಗ್ಯೂ, ಮೊದಲ ಸೋರಿಕೆಗಿಂತ ಭಿನ್ನವಾಗಿ, ಈ ಬಾರಿ ಅದು ಮೂಲ ಕೋಡ್ಗಳನ್ನು ಪ್ರಕಟಿಸಲಾಗಿಲ್ಲ, ಆದರೆ ಮೂಲ ಕೋಡ್ಗಳ ಸ್ಕ್ರೀನ್ಶಾಟ್ಗಳು, ನಿಯಂತ್ರಣ ಸರ್ವರ್ಗಳು ಮತ್ತು ಹ್ಯಾಕರ್ಗಳ ಹಿಂದಿನ ಬಲಿಪಶುಗಳ IP ವಿಳಾಸಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ಡಂಪ್ಗಳನ್ನು ಪ್ರಕಟಿಸಲಾಗಿದೆ. ಈ ಬಾರಿ ಮಡ್ಡಿ ವಾಟರ್ ಸೋರಿಕೆಯ ಹೊಣೆಯನ್ನು ಗ್ರೀನ್ ಲೀಕರ್ಸ್ ಹ್ಯಾಕರ್ಗಳು ವಹಿಸಿಕೊಂಡಿದ್ದಾರೆ. ಅವರು ಹಲವಾರು ಟೆಲಿಗ್ರಾಮ್ ಚಾನಲ್ಗಳು ಮತ್ತು ಡಾರ್ಕ್ನೆಟ್ ಸೈಟ್ಗಳನ್ನು ಹೊಂದಿದ್ದಾರೆ, ಅಲ್ಲಿ ಅವರು ಮಡ್ಡಿ ವಾಟರ್ ಕಾರ್ಯಾಚರಣೆಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ಡೇಟಾವನ್ನು ಜಾಹೀರಾತು ಮಾಡುತ್ತಾರೆ ಮತ್ತು ಮಾರಾಟ ಮಾಡುತ್ತಾರೆ.
ಮಧ್ಯಪ್ರಾಚ್ಯದಿಂದ ಸೈಬರ್ ಸ್ಪೈಸ್
ಮಡ್ಡಿ ವಾಟರ್ ಮಧ್ಯಪ್ರಾಚ್ಯದಲ್ಲಿ 2017 ರಿಂದ ಸಕ್ರಿಯವಾಗಿರುವ ಗುಂಪಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, ಗ್ರೂಪ್-ಐಬಿ ತಜ್ಞರು ಗಮನಿಸಿದಂತೆ, ಫೆಬ್ರವರಿಯಿಂದ ಏಪ್ರಿಲ್ 2019 ರವರೆಗೆ, ಹ್ಯಾಕರ್ಗಳು ಟರ್ಕಿ, ಇರಾನ್, ಅಫ್ಘಾನಿಸ್ತಾನ, ಇರಾಕ್ ಮತ್ತು ಅಜರ್ಬೈಜಾನ್ನಲ್ಲಿ ಸರ್ಕಾರ, ಶೈಕ್ಷಣಿಕ ಸಂಸ್ಥೆಗಳು, ಹಣಕಾಸು, ದೂರಸಂಪರ್ಕ ಮತ್ತು ರಕ್ಷಣಾ ಕಂಪನಿಗಳನ್ನು ಗುರಿಯಾಗಿಟ್ಟುಕೊಂಡು ಫಿಶಿಂಗ್ ಮೇಲಿಂಗ್ಗಳ ಸರಣಿಯನ್ನು ನಡೆಸಿದರು.
ಗುಂಪಿನ ಸದಸ್ಯರು PowerShell ಅನ್ನು ಆಧರಿಸಿ ತಮ್ಮದೇ ಆದ ಅಭಿವೃದ್ಧಿಯ ಹಿಂಬಾಗಿಲನ್ನು ಬಳಸುತ್ತಾರೆ, ಇದನ್ನು ಕರೆಯಲಾಗುತ್ತದೆ ಪವರ್ಸ್ಟಾಟ್ಸ್. ಅವನಿಗೆ ಸಾಧ್ಯವಿದೆ:
- ಸ್ಥಳೀಯ ಮತ್ತು ಡೊಮೇನ್ ಖಾತೆಗಳು, ಲಭ್ಯವಿರುವ ಫೈಲ್ ಸರ್ವರ್ಗಳು, ಆಂತರಿಕ ಮತ್ತು ಬಾಹ್ಯ IP ವಿಳಾಸಗಳು, ಹೆಸರು ಮತ್ತು OS ಆರ್ಕಿಟೆಕ್ಚರ್ ಬಗ್ಗೆ ಡೇಟಾವನ್ನು ಸಂಗ್ರಹಿಸಿ;
- ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಕೈಗೊಳ್ಳಿ;
- C&C ಮೂಲಕ ಫೈಲ್ಗಳನ್ನು ಅಪ್ಲೋಡ್ ಮಾಡಿ ಮತ್ತು ಡೌನ್ಲೋಡ್ ಮಾಡಿ;
- ದುರುದ್ದೇಶಪೂರಿತ ಫೈಲ್ಗಳ ವಿಶ್ಲೇಷಣೆಯಲ್ಲಿ ಬಳಸಲಾಗುವ ಡೀಬಗ್ ಮಾಡುವ ಕಾರ್ಯಕ್ರಮಗಳ ಉಪಸ್ಥಿತಿಯನ್ನು ಪತ್ತೆ ಮಾಡಿ;
- ದುರುದ್ದೇಶಪೂರಿತ ಫೈಲ್ಗಳನ್ನು ವಿಶ್ಲೇಷಿಸುವ ಕಾರ್ಯಕ್ರಮಗಳು ಕಂಡುಬಂದರೆ ಸಿಸ್ಟಮ್ ಅನ್ನು ಸ್ಥಗಿತಗೊಳಿಸಿ;
- ಸ್ಥಳೀಯ ಡ್ರೈವ್ಗಳಿಂದ ಫೈಲ್ಗಳನ್ನು ಅಳಿಸಿ;
- ಸ್ಕ್ರೀನ್ಶಾಟ್ಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳಿ;
- ಮೈಕ್ರೋಸಾಫ್ಟ್ ಆಫೀಸ್ ಉತ್ಪನ್ನಗಳಲ್ಲಿ ಭದ್ರತಾ ಕ್ರಮಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿ.
ಕೆಲವು ಹಂತದಲ್ಲಿ, ದಾಳಿಕೋರರು ತಪ್ಪು ಮಾಡಿದರು ಮತ್ತು ReaQta ದ ಸಂಶೋಧಕರು ಟೆಹ್ರಾನ್ನಲ್ಲಿರುವ ಅಂತಿಮ IP ವಿಳಾಸವನ್ನು ಪಡೆಯುವಲ್ಲಿ ಯಶಸ್ವಿಯಾದರು. ಗುಂಪಿನಿಂದ ದಾಳಿಗೊಳಗಾದ ಗುರಿಗಳು ಮತ್ತು ಸೈಬರ್ ಬೇಹುಗಾರಿಕೆಗೆ ಸಂಬಂಧಿಸಿದ ಗುರಿಗಳನ್ನು ಗಮನಿಸಿದರೆ, ಈ ಗುಂಪು ಇರಾನ್ ಸರ್ಕಾರದ ಹಿತಾಸಕ್ತಿಗಳನ್ನು ಪ್ರತಿನಿಧಿಸುತ್ತದೆ ಎಂದು ತಜ್ಞರು ಸೂಚಿಸಿದ್ದಾರೆ.
ದಾಳಿಯ ಸೂಚಕಗಳುC&C:
- ಗ್ಲಾಡಿಯೇಟರ್[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
ಫೈಲ್ಗಳು:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
ಟರ್ಕಿಯೆ ದಾಳಿಗೆ ಒಳಗಾಗಿದೆ
ಏಪ್ರಿಲ್ 10, 2019 ರಂದು, ಗ್ರೂಪ್-ಐಬಿ ತಜ್ಞರು ಟರ್ಕಿಯ ಮಿಲಿಟರಿ ಎಲೆಕ್ಟ್ರಾನಿಕ್ಸ್ ಕ್ಷೇತ್ರದಲ್ಲಿ ಅತಿದೊಡ್ಡ ಕಂಪನಿಯಾದ ಟರ್ಕಿಶ್ ಕಂಪನಿ ASELSAN A.Ş ನ ಮೇಲಿಂಗ್ ವಿಳಾಸಗಳ ಸೋರಿಕೆಯನ್ನು ಕಂಡುಹಿಡಿದರು. ಇದರ ಉತ್ಪನ್ನಗಳಲ್ಲಿ ರಾಡಾರ್ ಮತ್ತು ಎಲೆಕ್ಟ್ರಾನಿಕ್ಸ್, ಎಲೆಕ್ಟ್ರೋ-ಆಪ್ಟಿಕ್ಸ್, ಏವಿಯಾನಿಕ್ಸ್, ಮಾನವರಹಿತ ವ್ಯವಸ್ಥೆಗಳು, ಭೂಮಿ, ನೌಕಾ, ಶಸ್ತ್ರಾಸ್ತ್ರಗಳು ಮತ್ತು ವಾಯು ರಕ್ಷಣಾ ವ್ಯವಸ್ಥೆಗಳು ಸೇರಿವೆ.
POWERSTATS ಮಾಲ್ವೇರ್ನ ಹೊಸ ಮಾದರಿಗಳಲ್ಲಿ ಒಂದನ್ನು ಅಧ್ಯಯನ ಮಾಡುವಾಗ, ಗುಂಪು-IB ತಜ್ಞರು ದಾಳಿಕೋರರ ಮಡ್ಡಿವಾಟರ್ ಗುಂಪು Koç Savunma, ಮಾಹಿತಿ ಮತ್ತು ರಕ್ಷಣಾ ತಂತ್ರಜ್ಞಾನ ಕ್ಷೇತ್ರದಲ್ಲಿ ಪರಿಹಾರಗಳನ್ನು ಉತ್ಪಾದಿಸುವ ಕಂಪನಿ ಮತ್ತು Tubitak Bilgem ನಡುವಿನ ಪರವಾನಗಿ ಒಪ್ಪಂದವನ್ನು ಬೈಟ್ ದಾಖಲೆಯಾಗಿ ಬಳಸಿದ್ದಾರೆ ಎಂದು ನಿರ್ಧರಿಸಿದರು. , ಮಾಹಿತಿ ಭದ್ರತಾ ಸಂಶೋಧನಾ ಕೇಂದ್ರ ಮತ್ತು ಸುಧಾರಿತ ತಂತ್ರಜ್ಞಾನಗಳು. Koç Savunma ಸಂಪರ್ಕ ವ್ಯಕ್ತಿ ತಾಹಿರ್ Taner Tımış, ಅವರು Koç Bilgi ve Savunma Teknolojileri A.Ş ನಲ್ಲಿ ಕಾರ್ಯಕ್ರಮಗಳ ನಿರ್ವಾಹಕರ ಸ್ಥಾನವನ್ನು ಹೊಂದಿದ್ದರು. ಸೆಪ್ಟೆಂಬರ್ 2013 ರಿಂದ ಡಿಸೆಂಬರ್ 2018 ರವರೆಗೆ. ನಂತರ ಅವರು ASELSAN A.Ş ನಲ್ಲಿ ಕೆಲಸ ಮಾಡಲು ಪ್ರಾರಂಭಿಸಿದರು.
ಮಾದರಿ ಡಿಕಾಯ್ ಡಾಕ್ಯುಮೆಂಟ್
ಬಳಕೆದಾರರು ದುರುದ್ದೇಶಪೂರಿತ ಮ್ಯಾಕ್ರೋಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದ ನಂತರ, POWERSTATS ಹಿಂಬಾಗಿಲನ್ನು ಬಲಿಪಶುವಿನ ಕಂಪ್ಯೂಟರ್ಗೆ ಡೌನ್ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ.
ಈ ಡಿಕಾಯ್ ಡಾಕ್ಯುಮೆಂಟ್ನ ಮೆಟಾಡೇಟಾಕ್ಕೆ ಧನ್ಯವಾದಗಳು (MD5: 0638adf8fb4095d60fbef190a759aa9e) ರಚನೆಯ ದಿನಾಂಕ ಮತ್ತು ಸಮಯ, ಬಳಕೆದಾರಹೆಸರು ಮತ್ತು ಒಳಗೊಂಡಿರುವ ಮ್ಯಾಕ್ರೋಗಳ ಪಟ್ಟಿಯನ್ನು ಒಳಗೊಂಡಂತೆ ಒಂದೇ ರೀತಿಯ ಮೌಲ್ಯಗಳನ್ನು ಹೊಂದಿರುವ ಮೂರು ಹೆಚ್ಚುವರಿ ಮಾದರಿಗಳನ್ನು ಸಂಶೋಧಕರು ಕಂಡುಹಿಡಿಯಲು ಸಾಧ್ಯವಾಯಿತು:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
ವಿವಿಧ ಡಿಕಾಯ್ ಡಾಕ್ಯುಮೆಂಟ್ಗಳ ಒಂದೇ ರೀತಿಯ ಮೆಟಾಡೇಟಾದ ಸ್ಕ್ರೀನ್ಶಾಟ್
ಹೆಸರಿನೊಂದಿಗೆ ಪತ್ತೆಯಾದ ದಾಖಲೆಗಳಲ್ಲಿ ಒಂದಾಗಿದೆ ListOfHackedEmails.doc ಡೊಮೇನ್ಗೆ ಸೇರಿದ 34 ಇಮೇಲ್ ವಿಳಾಸಗಳ ಪಟ್ಟಿಯನ್ನು ಒಳಗೊಂಡಿದೆ @aselsan.com.tr.
ಗುಂಪು-IB ತಜ್ಞರು ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಿರುವ ಸೋರಿಕೆಗಳಲ್ಲಿ ಇಮೇಲ್ ವಿಳಾಸಗಳನ್ನು ಪರಿಶೀಲಿಸಿದರು ಮತ್ತು ಅವುಗಳಲ್ಲಿ 28 ಹಿಂದೆ ಪತ್ತೆಯಾದ ಸೋರಿಕೆಗಳಲ್ಲಿ ರಾಜಿ ಮಾಡಿಕೊಂಡಿವೆ ಎಂದು ಕಂಡುಕೊಂಡರು. ಲಭ್ಯವಿರುವ ಸೋರಿಕೆಗಳ ಮಿಶ್ರಣವನ್ನು ಪರಿಶೀಲಿಸುವಾಗ ಈ ಡೊಮೇನ್ಗೆ ಸಂಬಂಧಿಸಿದ ಸುಮಾರು 400 ಅನನ್ಯ ಲಾಗಿನ್ಗಳು ಮತ್ತು ಅವುಗಳಿಗೆ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ತೋರಿಸಲಾಗಿದೆ. ASELSAN A.Ş ಮೇಲೆ ದಾಳಿ ಮಾಡಲು ದಾಳಿಕೋರರು ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಿರುವ ಈ ಡೇಟಾವನ್ನು ಬಳಸಿರುವ ಸಾಧ್ಯತೆಯಿದೆ.
ListOfHackedEmails.doc ಡಾಕ್ಯುಮೆಂಟ್ನ ಸ್ಕ್ರೀನ್ಶಾಟ್
ಸಾರ್ವಜನಿಕ ಸೋರಿಕೆಗಳಲ್ಲಿ 450 ಕ್ಕೂ ಹೆಚ್ಚು ಪತ್ತೆಯಾದ ಲಾಗಿನ್-ಪಾಸ್ವರ್ಡ್ ಜೋಡಿಗಳ ಪಟ್ಟಿಯ ಸ್ಕ್ರೀನ್ಶಾಟ್
ಪತ್ತೆಯಾದ ಮಾದರಿಗಳಲ್ಲಿ ಶೀರ್ಷಿಕೆಯೊಂದಿಗೆ ಡಾಕ್ಯುಮೆಂಟ್ ಕೂಡ ಇತ್ತು F35-Specifications.doc, F-35 ಫೈಟರ್ ಜೆಟ್ ಅನ್ನು ಉಲ್ಲೇಖಿಸಿ. ಬೆಟ್ ಡಾಕ್ಯುಮೆಂಟ್ F-35 ಮಲ್ಟಿ-ರೋಲ್ ಫೈಟರ್-ಬಾಂಬರ್ಗೆ ಒಂದು ನಿರ್ದಿಷ್ಟತೆಯಾಗಿದೆ, ಇದು ವಿಮಾನದ ಗುಣಲಕ್ಷಣಗಳು ಮತ್ತು ಬೆಲೆಯನ್ನು ಸೂಚಿಸುತ್ತದೆ. ಈ ಡಿಕೋಯ್ ಡಾಕ್ಯುಮೆಂಟ್ನ ವಿಷಯವು ಟರ್ಕಿಯು S-35 ಸಿಸ್ಟಮ್ಗಳನ್ನು ಖರೀದಿಸಿದ ನಂತರ F-400 ಗಳನ್ನು ಪೂರೈಸಲು US ನಿರಾಕರಣೆ ಮತ್ತು F-35 ಲೈಟ್ನಿಂಗ್ II ರ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ರಷ್ಯಾಕ್ಕೆ ವರ್ಗಾಯಿಸುವ ಬೆದರಿಕೆಗೆ ನೇರವಾಗಿ ಸಂಬಂಧಿಸಿದೆ.
ಸ್ವೀಕರಿಸಿದ ಎಲ್ಲಾ ಡೇಟಾವು ಮಡ್ಡಿ ವಾಟರ್ ಸೈಬರ್ ದಾಳಿಯ ಮುಖ್ಯ ಗುರಿಗಳು ಟರ್ಕಿಯಲ್ಲಿ ನೆಲೆಗೊಂಡಿರುವ ಸಂಸ್ಥೆಗಳಾಗಿವೆ ಎಂದು ಸೂಚಿಸಿದೆ.
ಗ್ಲಾಡಿಯೇಟರ್_ಸಿಆರ್ಕೆ ಮತ್ತು ನಿಮಾ ನಿಕ್ಜೂ ಯಾರು?
ಈ ಹಿಂದೆ, ಮಾರ್ಚ್ 2019 ರಲ್ಲಿ, ಗ್ಲಾಡಿಯೇಟರ್_ಸಿಆರ್ಕೆ ಎಂಬ ಅಡ್ಡಹೆಸರಿನಡಿಯಲ್ಲಿ ಒಬ್ಬ ವಿಂಡೋಸ್ ಬಳಕೆದಾರರಿಂದ ರಚಿಸಲಾದ ದುರುದ್ದೇಶಪೂರಿತ ದಾಖಲೆಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲಾಯಿತು. ಈ ಡಾಕ್ಯುಮೆಂಟ್ಗಳು POWERSTATS ಹಿಂಬಾಗಿಲನ್ನು ವಿತರಿಸಿವೆ ಮತ್ತು ಅದೇ ಹೆಸರಿನೊಂದಿಗೆ C&C ಸರ್ವರ್ಗೆ ಸಂಪರ್ಕಗೊಂಡಿವೆ ಗ್ಲಾಡಿಯೇಟರ್[.]tk.
ಬಳಕೆದಾರರು ನಿಮಾ ನಿಕ್ಜೂ ಅವರು ಮಾರ್ಚ್ 14, 2019 ರಂದು ಟ್ವಿಟರ್ನಲ್ಲಿ ಪೋಸ್ಟ್ ಮಾಡಿದ ನಂತರ, ಮಡ್ಡಿ ವಾಟರ್ಗೆ ಸಂಬಂಧಿಸಿದ ಅಸ್ಪಷ್ಟ ಕೋಡ್ ಅನ್ನು ಡಿಕೋಡ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸಿದ ನಂತರ ಇದನ್ನು ಮಾಡಿರಬಹುದು. ಈ ಟ್ವೀಟ್ಗೆ ಕಾಮೆಂಟ್ಗಳಲ್ಲಿ, ಈ ಮಾಹಿತಿಯು ಗೌಪ್ಯವಾಗಿರುವುದರಿಂದ ಈ ಮಾಲ್ವೇರ್ಗಾಗಿ ರಾಜಿ ಸೂಚಕಗಳನ್ನು ಹಂಚಿಕೊಳ್ಳಲು ಸಾಧ್ಯವಿಲ್ಲ ಎಂದು ಸಂಶೋಧಕರು ಹೇಳಿದ್ದಾರೆ. ದುರದೃಷ್ಟವಶಾತ್, ಪೋಸ್ಟ್ ಅನ್ನು ಈಗಾಗಲೇ ಅಳಿಸಲಾಗಿದೆ, ಆದರೆ ಅದರ ಕುರುಹುಗಳು ಆನ್ಲೈನ್ನಲ್ಲಿ ಉಳಿದಿವೆ:
Nima Nikjoo ಇರಾನಿನ ವೀಡಿಯೊ ಹೋಸ್ಟಿಂಗ್ ಸೈಟ್ಗಳಾದ dideo.ir ಮತ್ತು videoi.ir ನಲ್ಲಿ Gladiyator_CRK ಪ್ರೊಫೈಲ್ನ ಮಾಲೀಕರಾಗಿದ್ದಾರೆ. ಈ ಸೈಟ್ನಲ್ಲಿ, ವಿವಿಧ ಮಾರಾಟಗಾರರಿಂದ ಆಂಟಿವೈರಸ್ ಉಪಕರಣಗಳನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು ಮತ್ತು ಸ್ಯಾಂಡ್ಬಾಕ್ಸ್ಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ಅವರು PoC ಶೋಷಣೆಗಳನ್ನು ಪ್ರದರ್ಶಿಸುತ್ತಾರೆ. ನಿಮಾ ನಿಕ್ಜೂ ಅವರು ನೆಟ್ವರ್ಕ್ ಸೆಕ್ಯುರಿಟಿ ಸ್ಪೆಷಲಿಸ್ಟ್ ಮತ್ತು ಇರಾನಿನ ದೂರಸಂಪರ್ಕ ಕಂಪನಿಯಾದ ಎಂಟಿಎನ್ ಇರಾನ್ಸೆಲ್ಗಾಗಿ ಕೆಲಸ ಮಾಡುವ ರಿವರ್ಸ್ ಎಂಜಿನಿಯರ್ ಮತ್ತು ಮಾಲ್ವೇರ್ ವಿಶ್ಲೇಷಕ ಎಂದು ತಮ್ಮ ಬಗ್ಗೆ ಬರೆಯುತ್ತಾರೆ.
Google ಹುಡುಕಾಟ ಫಲಿತಾಂಶಗಳಲ್ಲಿ ಉಳಿಸಿದ ವೀಡಿಯೊಗಳ ಸ್ಕ್ರೀನ್ಶಾಟ್:
ನಂತರ, ಮಾರ್ಚ್ 19, 2019 ರಂದು, ಸಾಮಾಜಿಕ ನೆಟ್ವರ್ಕ್ Twitter ನಲ್ಲಿ ಬಳಕೆದಾರ ನಿಮಾ ನಿಕ್ಜೂ ತನ್ನ ಅಡ್ಡಹೆಸರನ್ನು ಮಾಲ್ವೇರ್ ಫೈಟರ್ ಎಂದು ಬದಲಾಯಿಸಿದರು ಮತ್ತು ಸಂಬಂಧಿತ ಪೋಸ್ಟ್ಗಳು ಮತ್ತು ಕಾಮೆಂಟ್ಗಳನ್ನು ಸಹ ಅಳಿಸಿದ್ದಾರೆ. ವೀಡಿಯೊ ಹೋಸ್ಟಿಂಗ್ dideo.ir ನಲ್ಲಿನ Gladiyator_CRK ನ ಪ್ರೊಫೈಲ್ ಅನ್ನು YouTube ನಲ್ಲಿನಂತೆಯೇ ಅಳಿಸಲಾಗಿದೆ ಮತ್ತು ಪ್ರೊಫೈಲ್ ಅನ್ನು N Tabrizi ಎಂದು ಮರುನಾಮಕರಣ ಮಾಡಲಾಯಿತು. ಆದಾಗ್ಯೂ, ಸುಮಾರು ಒಂದು ತಿಂಗಳ ನಂತರ (ಏಪ್ರಿಲ್ 16, 2019), ಟ್ವಿಟರ್ ಖಾತೆಯು ನಿಮಾ ನಿಕ್ಜೂ ಎಂಬ ಹೆಸರನ್ನು ಮತ್ತೆ ಬಳಸಲಾರಂಭಿಸಿತು.
ಅಧ್ಯಯನದ ಸಮಯದಲ್ಲಿ, ಸೈಬರ್ ಕ್ರಿಮಿನಲ್ ಚಟುವಟಿಕೆಗಳಿಗೆ ಸಂಬಂಧಿಸಿದಂತೆ ನಿಮಾ ನಿಕ್ಜೂ ಅನ್ನು ಈಗಾಗಲೇ ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ಎಂದು ಗುಂಪು-ಐಬಿ ತಜ್ಞರು ಕಂಡುಹಿಡಿದರು. ಆಗಸ್ಟ್ 2014 ರಲ್ಲಿ, ಇರಾನ್ ಖಬರೆಸ್ತಾನ್ ಬ್ಲಾಗ್ ಸೈಬರ್ ಕ್ರಿಮಿನಲ್ ಗುಂಪಿನ ಇರಾನ್ ನಾಸ್ರ್ ಇನ್ಸ್ಟಿಟ್ಯೂಟ್ಗೆ ಸಂಬಂಧಿಸಿದ ವ್ಯಕ್ತಿಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಪ್ರಕಟಿಸಿತು. ಒಂದು ಫೈರ್ಐ ತನಿಖೆಯು ನಾಸ್ರ್ ಇನ್ಸ್ಟಿಟ್ಯೂಟ್ ಎಪಿಟಿ 33 ಗಾಗಿ ಗುತ್ತಿಗೆದಾರನಾಗಿದ್ದು, ಆಪರೇಷನ್ ಅಬಾಬಿಲ್ ಎಂಬ ಅಭಿಯಾನದ ಭಾಗವಾಗಿ 2011 ಮತ್ತು 2013 ರ ನಡುವೆ ಯುಎಸ್ ಬ್ಯಾಂಕ್ಗಳ ಮೇಲೆ ಡಿಡಿಒಎಸ್ ದಾಳಿಯಲ್ಲಿ ಭಾಗಿಯಾಗಿದೆ ಎಂದು ಹೇಳಿದೆ.
ಆದ್ದರಿಂದ ಅದೇ ಬ್ಲಾಗ್ನಲ್ಲಿ, ಇರಾನಿಯನ್ನರ ಮೇಲೆ ಕಣ್ಣಿಡಲು ಮಾಲ್ವೇರ್ ಅನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುತ್ತಿದ್ದ ನಿಮಾ ನಿಕ್ಜು-ನಿಕ್ಜೂ ಮತ್ತು ಅವರ ಇಮೇಲ್ ವಿಳಾಸ: gladiyator_cracker@yahoo[.]com ಅನ್ನು ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ.
ಇರಾನಿನ ನಾಸ್ರ್ ಇನ್ಸ್ಟಿಟ್ಯೂಟ್ನಿಂದ ಸೈಬರ್ ಅಪರಾಧಿಗಳಿಗೆ ಕಾರಣವಾದ ಡೇಟಾದ ಸ್ಕ್ರೀನ್ಶಾಟ್:
ಹೈಲೈಟ್ ಮಾಡಿದ ಪಠ್ಯದ ಅನುವಾದ ರಷ್ಯನ್ ಭಾಷೆಗೆ: ನಿಮಾ ನಿಕಿಯೊ - ಸ್ಪೈವೇರ್ ಡೆವಲಪರ್ - ಇಮೇಲ್:.
ಈ ಮಾಹಿತಿಯಿಂದ ನೋಡಬಹುದಾದಂತೆ, ಇಮೇಲ್ ವಿಳಾಸವು ದಾಳಿಯಲ್ಲಿ ಬಳಸಿದ ವಿಳಾಸ ಮತ್ತು Gladiyator_CRK ಮತ್ತು Nima Nikjoo ಬಳಕೆದಾರರೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿದೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ಜೂನ್ 15, 2017 ರ ಲೇಖನವು ತನ್ನ ಪುನರಾರಂಭದಲ್ಲಿ ಕವೋಶ್ ಭದ್ರತಾ ಕೇಂದ್ರದ ಉಲ್ಲೇಖಗಳನ್ನು ಪೋಸ್ಟ್ ಮಾಡುವಲ್ಲಿ ನಿಕ್ಜೂ ಸ್ವಲ್ಪ ಅಸಡ್ಡೆ ಹೊಂದಿದ್ದಾನೆ ಎಂದು ಹೇಳಿದೆ. ತಿನ್ನು
ನಿಮಾ ನಿಕ್ಜೂ ಕೆಲಸ ಮಾಡಿದ ಕಂಪನಿಯ ಬಗ್ಗೆ ಮಾಹಿತಿ:
ಟ್ವಿಟರ್ ಬಳಕೆದಾರ ನಿಮಾ ನಿಕ್ಜೂ ಅವರ ಲಿಂಕ್ಡ್ಇನ್ ಪ್ರೊಫೈಲ್ ತನ್ನ ಮೊದಲ ಉದ್ಯೋಗ ಸ್ಥಳವನ್ನು ಕವೋಶ್ ಸೆಕ್ಯುರಿಟಿ ಸೆಂಟರ್ ಎಂದು ಪಟ್ಟಿ ಮಾಡಿದೆ, ಅಲ್ಲಿ ಅವರು 2006 ರಿಂದ 2014 ರವರೆಗೆ ಕೆಲಸ ಮಾಡಿದರು. ಅವರ ಕೆಲಸದ ಸಮಯದಲ್ಲಿ, ಅವರು ವಿವಿಧ ಮಾಲ್ವೇರ್ಗಳನ್ನು ಅಧ್ಯಯನ ಮಾಡಿದರು ಮತ್ತು ರಿವರ್ಸ್ ಮತ್ತು ಅಸ್ಪಷ್ಟತೆ-ಸಂಬಂಧಿತ ಕೆಲಸಗಳೊಂದಿಗೆ ವ್ಯವಹರಿಸಿದರು.
ಲಿಂಕ್ಡ್ಇನ್ನಲ್ಲಿ ನಿಮಾ ನಿಕ್ಜೂ ಕೆಲಸ ಮಾಡಿದ ಕಂಪನಿಯ ಬಗ್ಗೆ ಮಾಹಿತಿ:
ಮಡ್ಡಿ ವಾಟರ್ ಮತ್ತು ಹೆಚ್ಚಿನ ಸ್ವಾಭಿಮಾನ
ಮಡ್ಡಿ ವಾಟರ್ ಗುಂಪು ತಮ್ಮ ಬಗ್ಗೆ ಪ್ರಕಟವಾದ ಮಾಹಿತಿ ಭದ್ರತಾ ತಜ್ಞರಿಂದ ಎಲ್ಲಾ ವರದಿಗಳು ಮತ್ತು ಸಂದೇಶಗಳನ್ನು ಎಚ್ಚರಿಕೆಯಿಂದ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುತ್ತದೆ ಮತ್ತು ಸಂಶೋಧಕರನ್ನು ವಾಸನೆಯಿಂದ ಹೊರಹಾಕಲು ಉದ್ದೇಶಪೂರ್ವಕವಾಗಿ ಸುಳ್ಳು ಧ್ವಜಗಳನ್ನು ಮೊದಲು ಬಿಟ್ಟಿದೆ ಎಂಬುದು ಕುತೂಹಲಕಾರಿಯಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, ಅವರ ಮೊದಲ ದಾಳಿಗಳು DNS ಮೆಸೆಂಜರ್ನ ಬಳಕೆಯನ್ನು ಪತ್ತೆಹಚ್ಚುವ ಮೂಲಕ ತಜ್ಞರನ್ನು ದಾರಿ ತಪ್ಪಿಸಿದವು, ಇದು ಸಾಮಾನ್ಯವಾಗಿ FIN7 ಗುಂಪಿನೊಂದಿಗೆ ಸಂಬಂಧ ಹೊಂದಿದೆ. ಇತರ ದಾಳಿಗಳಲ್ಲಿ, ಅವರು ಚೀನೀ ತಂತಿಗಳನ್ನು ಕೋಡ್ಗೆ ಸೇರಿಸಿದರು.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ಗುಂಪು ಸಂಶೋಧಕರಿಗೆ ಸಂದೇಶಗಳನ್ನು ಬಿಡಲು ಇಷ್ಟಪಡುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ಕ್ಯಾಸ್ಪರ್ಸ್ಕಿ ಲ್ಯಾಬ್ ವರ್ಷದ ಬೆದರಿಕೆ ರೇಟಿಂಗ್ನಲ್ಲಿ ಮಡ್ಡಿ ವಾಟರ್ ಅನ್ನು 3 ನೇ ಸ್ಥಾನದಲ್ಲಿ ಇರಿಸಿರುವುದು ಅವರಿಗೆ ಇಷ್ಟವಾಗಲಿಲ್ಲ. ಅದೇ ಕ್ಷಣದಲ್ಲಿ, ಯಾರೋ ಒಬ್ಬರು - ಸಂಭಾವ್ಯವಾಗಿ ಮಡ್ಡಿ ವಾಟರ್ ಗುಂಪು - LK ಆಂಟಿವೈರಸ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವ ಶೋಷಣೆಯ PoC ಅನ್ನು YouTube ಗೆ ಅಪ್ಲೋಡ್ ಮಾಡಿದ್ದಾರೆ. ಅವರು ಲೇಖನದ ಅಡಿಯಲ್ಲಿ ಕಾಮೆಂಟ್ ಕೂಡ ಮಾಡಿದ್ದಾರೆ.
ಕ್ಯಾಸ್ಪರ್ಸ್ಕಿ ಲ್ಯಾಬ್ ಆಂಟಿವೈರಸ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವ ವೀಡಿಯೊದ ಸ್ಕ್ರೀನ್ಶಾಟ್ಗಳು ಮತ್ತು ಕೆಳಗಿನ ಕಾಮೆಂಟರಿ:
"ನಿಮಾ ನಿಕ್ಜೂ" ನ ಒಳಗೊಳ್ಳುವಿಕೆಯ ಬಗ್ಗೆ ನಿಸ್ಸಂದಿಗ್ಧವಾದ ತೀರ್ಮಾನವನ್ನು ಮಾಡುವುದು ಇನ್ನೂ ಕಷ್ಟ. ಗುಂಪು-IB ತಜ್ಞರು ಎರಡು ಆವೃತ್ತಿಗಳನ್ನು ಪರಿಗಣಿಸುತ್ತಿದ್ದಾರೆ. ನಿಮಾ ನಿಕ್ಜೂ, ವಾಸ್ತವವಾಗಿ, ಮಡ್ಡಿ ವಾಟರ್ ಗುಂಪಿನ ಹ್ಯಾಕರ್ ಆಗಿರಬಹುದು, ಅವರು ತಮ್ಮ ನಿರ್ಲಕ್ಷ್ಯ ಮತ್ತು ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಹೆಚ್ಚಿದ ಚಟುವಟಿಕೆಯಿಂದಾಗಿ ಬೆಳಕಿಗೆ ಬಂದರು. ಎರಡನೆಯ ಆಯ್ಕೆಯೆಂದರೆ, ಅವರು ತಮ್ಮಿಂದ ಅನುಮಾನವನ್ನು ಬೇರೆಡೆಗೆ ತಿರುಗಿಸುವ ಸಲುವಾಗಿ ಗುಂಪಿನ ಇತರ ಸದಸ್ಯರು ಉದ್ದೇಶಪೂರ್ವಕವಾಗಿ "ಬಹಿರಂಗಪಡಿಸಿದ್ದಾರೆ". ಯಾವುದೇ ಸಂದರ್ಭದಲ್ಲಿ, ಗ್ರೂಪ್-ಐಬಿ ತನ್ನ ಸಂಶೋಧನೆಯನ್ನು ಮುಂದುವರೆಸುತ್ತದೆ ಮತ್ತು ಖಂಡಿತವಾಗಿಯೂ ಅದರ ಫಲಿತಾಂಶಗಳನ್ನು ವರದಿ ಮಾಡುತ್ತದೆ.
ಇರಾನಿನ ಎಪಿಟಿಗಳಿಗೆ ಸಂಬಂಧಿಸಿದಂತೆ, ಸೋರಿಕೆಗಳು ಮತ್ತು ಸೋರಿಕೆಗಳ ಸರಣಿಯ ನಂತರ, ಅವರು ಬಹುಶಃ ಗಂಭೀರವಾದ “ವಿವರಣೆ” ಯನ್ನು ಎದುರಿಸಬೇಕಾಗುತ್ತದೆ - ಹ್ಯಾಕರ್ಗಳು ತಮ್ಮ ಪರಿಕರಗಳನ್ನು ಗಂಭೀರವಾಗಿ ಬದಲಾಯಿಸಲು, ಅವರ ಟ್ರ್ಯಾಕ್ಗಳನ್ನು ಸ್ವಚ್ಛಗೊಳಿಸಲು ಮತ್ತು ಅವರ ಶ್ರೇಣಿಯಲ್ಲಿ ಸಂಭವನೀಯ “ಮೋಲ್ಗಳನ್ನು” ಹುಡುಕಲು ಒತ್ತಾಯಿಸಲಾಗುತ್ತದೆ. ತಜ್ಞರು ಅವರು ಕಾಲಾವಧಿಯನ್ನು ತೆಗೆದುಕೊಳ್ಳುತ್ತಾರೆ ಎಂದು ತಳ್ಳಿಹಾಕಲಿಲ್ಲ, ಆದರೆ ಸ್ವಲ್ಪ ವಿರಾಮದ ನಂತರ, ಇರಾನಿನ APT ದಾಳಿಗಳು ಮತ್ತೆ ಮುಂದುವರೆದವು.
ಮೂಲ: www.habr.com