Hackerên alîgirên hikûmetê yên Îranê di nav tengasiyek mezin de ne. Seranserê biharê, kesên nenas "ragihandinên nepenî" li ser Telegramê belav kirin - agahiyên li ser komên APT yên girêdayî hikûmeta Îranê - OilRig и MuddyWater - Amûrên wan, qurbanî, girêdan. Lê ne li ser her kesî. Di meha Nîsanê de, pisporên Group-IB-ê navnîşanên posta yên şirketa tirkî ASELSAN A.Ş ku radyoyên leşkerî yên taktîkî û pergalên berevaniyê yên elektronîkî ji bo hêzên çekdar ên Tirkiyê çêdike, eşkere kiribûn. Anastasia Tikhonova, Koma-IB Pêşkeftî ya Lêkolîna Tehdîda Serokê, û Nikita Rostovtsev, analîstê biçûk li Group-IB, pêvajoya êrîşa li ser ASELSAN A.Ş vegot û beşdarek muhtemel dît. MuddyWater.
Ronahî bi rêya Telegram
Derketina komên APT yên Îranê bi hinceta Lab Doxtegan dest pê kir kodên çavkaniyê yên şeş amûrên APT34 (ango OilRig û HelixKitten), navnîşanên IP û domên ku di operasyonan de beşdar bûne, û her weha daneyên li ser 66 mexdûrên hakeran, di nav de Etihad Airways û Emirates National Oil, eşkere kirin. Lab Doookhtegan her wiha daneyên li ser operasyonên berê yên girûpê û agahiyên li ser xebatkarên Wezareta Îtilaat û Ewlehiya Neteweyî ya Îranê ku tê îdiakirin ku bi operasyonên girûpê re têkildar in, eşkere kir. OilRig komek APT ya girêdayî Îranê ye ku ji derdora 2014an ve heye û hikûmetê, rêxistinên darayî û leşkerî, û her weha pargîdaniyên enerjî û telekomunîkasyonê li Rojhilata Navîn û Chinaînê dike armanc.
Piştî ku OilRig hate eşkere kirin, belavbûn berdewam kir - agahdariya li ser çalakiyên komeke din a pro-dewletê ji Iranranê, MuddyWater, li ser tora tarî û li ser Telegram xuya bû. Lêbelê, berevajî derçûna yekem, vê carê ne kodên çavkaniyê hatin weşandin, lê avêtin, di nav de dîmenên kodên çavkaniyê, serverên kontrolê, û her weha navnîşanên IP yên mexdûrên berê yên hackeran. Vê carê, hackerên Green Leakers berpirsiyariya derçûna li ser MuddyWater girt ser xwe. Ew xwedan çend kanalên Telegram û malperên tarî yên ku ew daneya têkildarî operasyonên MuddyWater reklam dikin û difiroşin.
Ji Rojhilata Navîn sîxurên sîber
MuddyWater komeke ku ji sala 2017’an ve li Rojhilata Navîn çalak e. Mînakî, wekî ku pisporên Group-IB destnîşan dikin, ji Sibata heta Nîsana 2019an, hackeran rêzek nameyên phishingê bi mebesta hukûmet, rêxistinên perwerdehiyê, pargîdaniyên darayî, têlefonê û berevaniyê li Tirkiye, Îran, Afganîstan, Iraq û Azerbeycanê pêk anîn.
Endamên komê deriyek paşde ya pêşkeftina xwe ya li ser bingeha PowerShell-ê, ku jê re tê gotin, bikar tînin POWERSTATS. Ew dikare:
- daneyên li ser hesabên herêmî û domainê, pêşkêşkerên pelan ên berdest, navnîşanên IP-ya navxweyî û derveyî, nav û mîmariya OS-ê berhev bikin;
- pêkanîna kodê ji dûr ve;
- barkirin û daxistina pelan bi rêya C & C;
- hebûna bernameyên xeletkirinê yên ku di analîzkirina pelên xirab de têne bikar anîn tespît bikin;
- ger bernameyên ji bo analîzkirina pelên xerab werin dîtin pergalê biqewirînin;
- pelên ji ajokarên herêmî jêbirin;
- dîmenan bikişîne;
- tedbîrên ewlehiyê di hilberên Microsoft Office de neçalak bikin.
Di demekê de, êrîşkaran xeletiyek kir û lêkolînerên ReaQta karî navnîşana IP-ya dawîn, ku li Tehranê bû, bi dest bixin. Li gor armancên ku ji aliyê girûpê ve hatine êrîş kirin û herwiha armancên wê yên girêdayî sîxûriya sîber, pisporan amaje bi wê yekê dikin ku ew girûp nûnertiya berjewendiyên hikûmeta Îranê dike.
Nîşaneyên êrîşêC&C:
- gladyator[.]tk
- 94.23.148 [.]194
- 192.95.21 [.]28
- 46.105.84 [.]146
- 185.162.235 [.]182
Pelên:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Tirkiye di bin êrîşan de ye
Pisporên Group-IB di 10ê Nîsana 2019an de li ser navnîşanên nameyên şirketa ASELSAN A.Ş ya Tirkiyê ku mezintirîn kompanya di warê elektronîka leşkerî ya Tirkiyê de ye, eşkere kiribûn. Berhemên wê radar û elektronîk, elektro-optîk, avyonîk, pergalên bêmirov, bejahî, deryayî, çek û pergalên parastina hewayî hene.
Di lêkolîna yek ji nimûneyên nû yên malware POWERSTATS de, pisporên Group-IB diyar kirin ku koma êrîşkar MuddyWater wekî belgeya kemînê peymanek lîsansê di navbera Koç Savunma, pargîdaniya ku di warê teknolojiyên agahdarî û parastinê de çareseriyê çêdike, û Tubitak Bilgem bikar tîne. , navendek lêkolînê ya ewlehiya agahdariyê û teknolojiyên pêşkeftî. Kesê têkilî Koç Savunma Tahîr Taner Tîmîş bû ku li Koç Bilgi ve Savunma Teknolojileri A.Ş. ji Îlona 2013 heta Kanûn 2018. Pişt re li ASELSAN A.Ş.
Nimûne belgeya deqê
Piştî ku bikarhêner makroyên xerab aktîf dike, deriya paşîn a POWERSTATS li ser komputera mexdûr tê dakêşandin.
Spas ji metadata vê belgeya deqê (MD5: 0638adf8fb4095d60fbef190a759aa9e) lêkolîneran karîbûn sê nimûneyên din ên ku tê de nirxên wekhev hene, di nav de tarîx û demjimêra afirandinê, navê bikarhêner, û navnîşek makroyên tê de hene bibînin:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Dîmenê metadaneyên yeksan ên belgeyên cûrbecûr yên deqê
Yek ji belgeyên ku bi nave hatine dîtin ListOfHackedEmails.doc lîsteyek ji 34 navnîşanên e-nameyê yên girêdayî domainê heye @aselsan.com.tr.
Pisporên Group-IB-ê navnîşanên e-nameyên di lehiyên berdest ên gelemperî de kontrol kirin û dîtin ku 28 ji wan di lehiyên ku berê hatine keşif kirin de hatine tawîz kirin. Kontrolkirina tevliheviya lewazên berdest nêzîkê 400 têketinên bêhempa yên ku bi vê domainê û şîfreyên ji bo wan ve girêdayî ne destnîşan kir. Îhtimal heye ku êrîşkaran ev daneyên li ber destê raya giştî ji bo êrîşê ASELSAN A.Ş.
Dîmenê belgeyê ListOfHackedEmails.doc
Dîmenê navnîşek ji zêdetirî 450 cotên têketin-şîfreyê yên ku di lêdanên gelemperî de hatine tespît kirin
Di nav mînakên hatin dîtin de belgeyek bi sernavê jî hebû F35-Specifications.doc, behsa balafira şer a F-35 kir. Belgeya bait taybetmendiyek ji bo firokeya şerker-bombebar a pir-rol F-35 e ku taybetmendî û bihayê balafirê destnîşan dike. Mijara vê belgeya xapînok rasterast bi redkirina F-35an a Amerîkayê piştî kirîna pergalên S-400 ji aliyê Tirkiyê ve û metirsiya gihandina agahiyên derbarê F-35 Birûska II bo Rûsyayê ve girêdayî ye.
Hemû daneyên hatin bidestxistin diyar kirin ku hedefên sereke yên êrîşên sîber MuddyWater rêxistinên li Tirkiyeyê ne.
Gladiyator_CRK û Nima Nikjoo kî ne?
Berê, di Adara 2019-an de, belgeyên xirab hatin dîtin ku ji hêla bikarhênerek Windows-ê ve di bin navê paşnavê Gladiyator_CRK de hatî çêkirin. Van belgeyan di heman demê de deriya paşîn a POWERSTATS jî belav kirin û bi serverek C&C ya bi navek wekhev ve girêdayî bûn gladyator[.]tk.
Dibe ku ev yek piştî ku bikarhêner Nima Nikjoo di 14ê Adarê, 2019-an de li ser Twitter-ê şandibû, hewl da ku koda nepenî ya ku bi MuddyWater ve girêdayî ye deşîfre bike. Di şîroveyên vê tweetê de, lêkolîner got ku ew nikare nîşanên lihevhatinê ji bo vê malware parve bike, ji ber ku ev agahdarî nehênî ye. Mixabin, post jixwe hatî jêbirin, lê şopên wê li serhêl dimîne:
Nima Nikjoo xwediyê profîla Gladiyator_CRK e li ser malperên îranî hosting video dideo.ir û videoi.ir. Li ser vê malperê, ew îstismarên PoC-ê destnîşan dike da ku amûrên antivirus ji firoşkarên cihêreng neçalak bike û qutiyên sandê derbas bike. Nima Nikjoo li ser xwe dinivîse ku ew pisporê ewlehiya torê ye, û her weha endezyarek berevajî û vekolerê malware ye ku ji bo MTN Irancell, pargîdaniyek têlefonê ya îranî kar dike.
Dîmenê vîdyoyên tomarkirî yên di encamên lêgerîna Google de:
Dûv re, di 19ê Adara 2019-an de, bikarhêner Nima Nikjoo li ser tora civakî ya Twitter-ê paşnavê xwe guhert û kir Malware Fighter, û her weha post û şîroveyên têkildar jêbirin. Profîla Gladiyator_CRK ya li ser video hosting dideo.ir jî, wekî ku li ser YouTube bû, hat jêbirin û navê profîlê bi xwe jî bû N Tebrîzî. Lêbelê, hema mehek şûnda (16ê Avrêl, 2019), hesabê Twitterê dîsa dest bi karanîna navê Nima Nikjoo kir.
Di dema lêkolînê de, pisporên Group-IB vedîtin ku Nima Nikjoo jixwe di girêdanekê de bi çalakiyên sûcdar ên sîber ve hatî destnîşan kirin. Di Tebaxa 2014an de, bloga Iran Khabarestan agahdarî li ser kesên ku bi koma sûcê sîberî re têkildar in Enstîtuya Nasr ya Îranê weşand. Lêkolînek FireEye diyar kir ku Enstîtuya Nasr peymankarê APT33 bû û di heman demê de di navbera 2011 û 2013 de wekî beşek ji kampanyaya bi navê Operasyona Ababil beşdarî êrîşên DDoS li ser bankên Dewletên Yekbûyî bû.
Ji ber vê yekê di heman blogê de behsa Nima Nikju-Nikjoo, ku ji bo sîxuriyê li ser Îraniyan dike malware pêşve dibir, û navnîşana e-nameya wî: gladiyator_cracker@yahoo[.]com.
Dîmenê daneyên ku ji Enstîtuya Nasr a Îranî ji sûcdarên sîber re hatine veqetandin:
Wergera nivîsa ronîkirî bo rûsî: Nima Nikio - Pêşdebirê Spyware - Email:.
Wekî ku ji vê agahiyê tê dîtin, navnîşana e-nameyê bi navnîşana ku di êrîşan de hatî bikar anîn û bikarhênerên Gladiyator_CRK û Nima Nikjoo ve girêdayî ye.
Wekî din, gotara 15-ê Hezîrana 2017-an diyar kir ku Nikjoo di şandina referansên Navenda Ewlekariya Kavosh de li ser reseniya xwe hinekî xemsar bû. Xwarin ku Navenda Ewlekariya Kavoş ji aliyê dewleta Îranê ve ji bo fînansekirina hakerên alîgirên hikûmetê tê piştgirî kirin.
Agahdariya li ser pargîdaniya ku Nima Nikjoo lê dixebitî:
Bikarhênerê Twitterê Nima Nikjoo di profîla LinkedIn de cîhê karûbarê xwe yê yekem wekî Navenda Ewlekariya Kavosh navnîş dike, ku ew ji 2006 heta 2014 li wir kar kiriye. Di dema xebata xwe de, wî malwareyên cihêreng xwendiye, û di heman demê de bi karên berevajî û têkildar-êrandî re mijûl dibe.
Agahdariya li ser pargîdaniya Nima Nikjoo ku li ser LinkedIn kar dikir:
MuddyWater û xwebaweriya bilind
Meraq e ku koma MuddyWater bi baldarî çavdêriya hemî rapor û peyamên pisporên ewlehiya agahdariya ku li ser wan hatine weşandin dişopîne, û tewra di destpêkê de bi qestî alayên derewîn hiştin da ku lêkolîneran ji bêhnê bavêje. Mînakî, êrişên wan ên yekem pisporan bi tespîtkirina karanîna DNS Messenger, ku bi gelemperî bi koma FIN7 re têkildar bû, xapandin. Di êrîşên din de, wan rêzikên çînî xistin nav kodê.
Wekî din, kom hez dike ku ji lêkolîneran re peyaman bihêle. Mînakî, wan hez nedikir ku Kaspersky Lab MuddyWater di rêza 3-emîn de di rêjeya xetera xwe ya salê de bi cih kir. Di heman demê de, kesek - tê texmîn kirin ku koma MuddyWater - PoC-ya îstîsmarek li YouTube-ê ku antivirusa LK-ê asteng dike bar kir. Wan jî di bin gotarê de şîroveyek hiştin.
Dîmenên vîdyoya li ser neçalakkirina antivirusê Kaspersky Lab û şîroveya jêrîn:
Hîn jî dijwar e ku meriv di derbarê tevlêbûna "Nima Nikjoo" de encamek nezelal bide. Pisporên Group-IB du guhertoyan difikirin. Nima Nikjoo, bi rastî, dibe ku hackerek ji koma MuddyWater be, ku ji ber xemsariya wî û zêdebûna çalakiya li ser torê derketiye holê. Vebijarka duyemîn ev e ku ew bi qestî ji hêla endamên din ên komê ve hate "xuyakirin" da ku gumanê ji xwe dûr bixe. Di her rewşê de, Group-IB lêkolîna xwe didomîne û teqez dê encamên xwe ragihîne.
Derbarê APT-yên Îranî de, piştî rêzek lehî û derçûn, ew ê belkî rûbirûyê "danûstandinek" ciddî bibin - hacker dê neçar bibin ku bi ciddî amûrên xwe biguhezînin, şopên xwe paqij bikin û di rêzên xwe de "molên" gengaz bibînin. Pisporan îhtîmal nekirin ku ew ê demek kurt jî bigirin, lê piştî navberek kurt êrîşên APT yên Îranê dîsa berdewam kirin.
Source: www.habr.com