Iranesch Pro-Regierung Hacker sinn a grousse Probleemer. Am ganze Fréijoer hunn onbekannt Leit "geheim Leckage" op Telegram publizéiert - Informatioun iwwer APT Gruppen verbonne mat der iranescher Regierung - OilRig и MuddyWater - hir Tools, Affer, Verbindungen. Awer net iwwer jiddereen. Am Abrëll hunn Group-IB Spezialisten e Leck vu Mailadressen vun der tierkescher Gesellschaft ASELSAN A.Ş entdeckt, déi taktesch Militärradios an elektronesch Verteidegungssystemer fir d'tierkesch Arméi produzéiert. Anastasia Tikhonova, Group-IB Advanced Threat Research Team Leader, an Nikita Rostovtsev, Junior Analyst bei Group-IB, beschreift de Verlaf vun der Attack op ASELSAN A.Ş an huet e méigleche Participant fonnt MuddyWater.
Beliichtung iwwer Telegram
De Leck vun iraneschen APT Gruppen ugefaang mat der Tatsaach, datt e bestëmmte Lab Doukhtegan d'Quellcoden vu sechs APT34 Tools (alias OilRig an HelixKitten), hunn d'IP Adressen an d'Domaen an den Operatiounen opgedeckt, souwéi Daten iwwer 66 Affer vun Hacker, dorënner Etihad Airways an Emirates National Oil. De Lab Doookhtegan huet och Donnéeën iwwer d'Vergaangenheet vun der Grupp an d'Informatioun iwwer d'Mataarbechter vum iraneschen Ministère fir Informatioun an National Sécherheet geläscht, déi angeblech mat den Operatiounen vun der Grupp verbonne sinn. OilRig ass eng Iran-verbonne APT Grupp déi zënter ongeféier 2014 existéiert an zielt Regierung, Finanz- a Militärorganisatiounen, souwéi Energie- an Telekommunikatiounsfirmen am Mëttleren Osten a China.
Nodeem OilRig opgedeckt gouf, sinn d'Leaks weidergaang - Informatioun iwwer d'Aktivitéite vun enger anerer Pro-State Grupp aus dem Iran, MuddyWater, erschéngt am Darknet an op Telegram. Wéi och ëmmer, am Géigesaz zum éischte Leck, waren et dës Kéier net d'Quellcoden déi publizéiert goufen, awer Dumps, dorënner Screenshots vun de Quellcoden, Kontrollserveren, souwéi d'IP Adresse vu vergaangenen Affer vun Hacker. Dës Kéier hunn Green Leakers Hacker d'Verantwortung fir de Leck iwwer MuddyWater iwwerholl. Si besëtzen e puer Telegram Kanäl an Darknet Siten wou se Reklammen a verkafen Daten am Zesummenhang mat MuddyWater Operatiounen.
Cyber Spion aus dem Mëttleren Osten
MuddyWater ass e Grupp deen zënter 2017 am Mëttleren Osten aktiv ass. Zum Beispill, wéi Group-IB Experten notéieren, vu Februar bis Abrëll 2019, hunn Hacker eng Serie vu Phishing-Mailings ausgefouert, déi u Regierung, Erzéiungsorganisatiounen, Finanz-, Telekommunikatiouns- a Verteidegungsfirmen an der Tierkei, Iran, Afghanistan, Irak an Aserbaidschan gezielt hunn.
D'Grupp Membere benotzen eng Hannerdier vun hirer eegener Entwécklung baséiert op PowerShell, déi genannt gëtt POWERSTATS. Hie kann:
- sammelen Daten iwwer lokal an Domain Konten, verfügbare Dateiserver, intern an extern IP Adressen, Numm an OS Architektur;
- Ausféierung vun der Remote Code Ausféierung;
- eropluede an eroflueden Fichieren via C & C;
- d'Präsenz vun Debugging Programmer z'entdecken, déi an der Analyse vu béiswëlleg Dateien benotzt ginn;
- de System auszeschalten wann Programmer fir béiswëlleg Dateien ze analyséieren fonnt ginn;
- läschen Fichier'en aus lokal fiert;
- Screenshots huelen;
- Sécherheetsmoossnamen an Microsoft Office Produkter auszeschalten.
Irgendwann hunn d'Attacker e Feeler gemaach an d'Fuerscher vu ReaQta hunn et fäerdeg bruecht déi definitiv IP Adress ze kréien, déi zu Teheran läit. Wéinst den Ziler, déi vun der Grupp attackéiert goufen, souwéi seng Ziler am Zesummenhang mat Cyberspionage, hunn Experten virgeschloen datt de Grupp d'Interesse vun der iranescher Regierung duerstellt.
Attack IndicateurenC&C:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Dateien:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye ënner Attack
Den 10. Abrëll 2019 hunn Group-IB Spezialisten e Leck vu Mailadressen vun der tierkescher Firma ASELSAN A.Ş entdeckt, déi gréisste Firma am Beräich vun der Militärelektronik an der Tierkei. Seng Produkter enthalen Radar an Elektronik, Elektrooptik, Avionik, onbemannt Systemer, Land, Marine, Waffen a Loftverteidegungssystemer.
Studéiert eng vun den neie Proben vun der POWERSTATS Malware, Group-IB Experten hunn festgestallt datt de MuddyWater Grupp vun Ugräifer als Köderdokument e Lizenzvertrag tëscht Koç Savunma, enger Firma produzéiert Léisungen am Beräich vun Informatiouns- a Verteidegungstechnologien, an Tubitak Bilgem benotzt. , en Informatiounssécherheetsfuerschungszentrum a fortgeschratt Technologien. De Kontaktpersoun fir Koç Savunma war den Tahir Taner Tımış, deen d'Positioun vum Programm Manager bei Koç Bilgi ve Savunma Teknolojileri A.Ş. vum September 2013 bis Dezember 2018. Méi spéit huet hien ugefaange bei ASELSAN A.Ş ze schaffen.
Prouf decoy Dokument
Nodeems de Benotzer béiswëlleg Makroen aktivéiert, gëtt d'POWERSTATS Backdoor op de Computer vum Affer erofgelueden.
Dank de Metadaten vun dësem Decoy Dokument (MD5: 0638adf8fb4095d60fbef190a759aa9e) Fuerscher konnten dräi zousätzlech Proben fannen, déi identesch Wäerter enthalen, dorënner den Erstellungsdatum an d'Zäit, de Benotzernumm an eng Lëscht vu Makroen enthalen:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- Spezifikatioune vun F35-XNUMX5c6148619abb10bb3789dcfb32f759a6)
Screenshot vun identesche Metadaten vu verschiddenen Decoy Dokumenter
Ee vun den entdeckten Dokumenter mam Numm ListOfHackedEmails.doc enthält eng Lëscht vun 34 E-Mailadressen déi zum Domain gehéieren @aselsan.com.tr.
Group-IB Spezialisten hunn E-Mail Adressen an ëffentlech verfügbare Leck gepréift a fonnt datt 28 vun hinnen a virdru entdeckte Leck kompromittéiert goufen. Iwwerpréift vun der Mëschung vu verfügbare Leckage huet ongeféier 400 eenzegaarteg Login gewisen, déi mat dësem Domain verbonne sinn a Passwierder fir si. Et ass méiglech datt Ugräifer dës ëffentlech verfügbar Donnéeën benotzt hunn fir den ASELSAN A.Ş.
Screenshot vum Dokument ListOfHackedEmails.doc
Screenshot vun enger Lëscht vu méi wéi 450 entdeckte Login-Passwuertpaaren an ëffentleche Leckage
Ënnert den entdeckte Proben gouf et och en Dokument mam Titel Spezifikatioune vun 35FXNUMX, bezitt sech op de F-35 Fighter Jet. D'Köderdokument ass eng Spezifizéierung fir de F-35 Multi-Roll Kämpfer-Bomber, wat d'Charakteristiken an de Präis vum Fliger uginn. D'Thema vun dësem Decoy-Dokument bezitt sech direkt op d'Verweigerung vun den USA fir F-35s ze liwweren nom Kaf vun de S-400 Systemer vun der Tierkei an d'Drohung fir Informatioun iwwer de F-35 Lightning II a Russland ze transferéieren.
All d'Daten, déi kritt goufen, hunn uginn datt d'Haaptziler vu MuddyWater Cyberattacken Organisatiounen an der Tierkei waren.
Wien sinn Gladiyator_CRK an Nima Nikjoo?
Virdrun, am Mäerz 2019, goufen béiswëlleg Dokumenter entdeckt erstallt vun engem Windows Benotzer ënner dem Spëtznumm Gladiyator_CRK. Dës Dokumenter hunn och d'POWERSTATS Backdoor verdeelt a verbonne mat engem C&C Server mat engem ähnlechen Numm gladiator[.]tk.
Dëst ka gemaach ginn nodeems de Benotzer Nima Nikjoo de 14. Mäerz 2019 op Twitter gepost huet, probéiert de verstoppte Code deen mam MuddyWater assoziéiert ze dekodéieren. An de Kommentaren zu dësem Tweet huet de Fuerscher gesot datt hien d'Indikatore vu Kompromëss fir dës Malware net deele kéint, well dës Informatioun vertraulech ass. Leider ass de Post scho geläscht ginn, awer d'Spure dovun bleiwen online:
Nima Nikjoo ass de Besëtzer vum Gladiyator_CRK Profil op den iraneschen Video Hosting Sites dideo.ir a videoi.ir. Op dësem Site demonstréiert hien PoC Ausnotzen fir Antivirus Tools vu verschiddene Verkeefer auszeschalten an Sandkëschten ëmzegoen. Den Nima Nikjoo schreift iwwer sech selwer datt hien e Reseau Sécherheetsspezialist ass, wéi och e Reverse Engineer a Malware Analyst dee fir MTN Irancell schafft, eng iranesch Telekommunikatiounsfirma.
Screenshot vu gespäicherten Videoen a Google Sichresultater:
Méi spéit, den 19. Mäerz 2019, huet de Benotzer Nima Nikjoo um sozialen Netzwierk Twitter säi Spëtznumm op Malware Fighter geännert, an och verwandte Posts a Kommentarer geläscht. De Profil vum Gladiyator_CRK um Videohosting dideo.ir gouf och geläscht, sou wéi de Fall op YouTube, an de Profil selwer gouf ëmbenannt N Tabrizi. Wéi och ëmmer, bal e Mount méi spéit (16. Abrëll 2019), huet den Twitter Kont erëm ugefaang den Numm Nima Nikjoo ze benotzen.
Wärend der Studie hunn Group-IB Spezialisten entdeckt datt Nima Nikjoo schonn a Verbindung mat Cyberkriminellen Aktivitéiten ernimmt gouf. Am August 2014 huet den Iran Khabarestan Blog Informatioun iwwer Individuen publizéiert, déi mat der Cyberkrimineller Grupp Iranian Nasr Institut verbonne sinn. Eng FireEye Enquête sot datt den Nasr Institut en Optraghueler fir APT33 war an och an DDoS Attacken op US Banken tëscht 2011 an 2013 involvéiert war als Deel vun enger Campagne genannt Operation Ababil.
Also am selwechte Blog gouf den Nima Nikju-Nikjoo ernimmt, deen Malware entwéckelt fir Iraner ze spionéieren, a seng E-Mailadress: gladiyator_cracker@yahoo[.]com.
Screenshot vun Donnéeën un Cyberkriminelle vum iraneschen Nasr Institut zougeschriwwen:
Iwwersetzung vum markéierten Text op Russesch: Nima Nikio - Spyware Entwéckler - E-Mail:.
Wéi kann aus dëser Informatioun gesi ginn, ass d'E-Mailadress mat der Adress déi an den Attacken benotzt gëtt an de Benotzer Gladiyator_CRK an Nima Nikjoo assoziéiert.
Zousätzlech huet den 15. Juni 2017 Artikel festgehalen datt den Nikjoo e bësse suergfälteg war fir Referenzen op de Kavosh Security Center op sengem CV ze posten. Iessen datt de Kavosh Security Center vum iranesche Staat ënnerstëtzt gëtt fir Pro-Regierung Hacker ze finanzéieren.
Informatioun iwwer d'Firma wou Nima Nikjoo geschafft huet:
Dem Twitter Benotzer Nima Nikjoo säi LinkedIn Profil listt seng éischt Plaz vun der Aarbecht als Kavosh Security Center, wou hien vun 2006 bis 2014 geschafft huet. Wärend senger Aarbecht huet hie verschidde Malware studéiert, an huet sech och mat ëmgedréint an obfuscation-relatéiert Aarbecht beschäftegt.
Informatiounen iwwer d'Firma Nima Nikjoo geschafft fir op LinkedIn:
MuddyWater an héich Self-Wäertschätzung
Et ass virwëtzeg datt de MuddyWater Grupp suergfälteg iwwerwaacht all Berichter a Messagen vun Informatiounssécherheetsexperten, déi iwwer si publizéiert goufen, a souguer bewosst falsch Fändelen op d'éischt hannerlooss fir Fuerscher aus dem Doft ze werfen. Zum Beispill hunn hir éischt Attacke Experten täuscht andeems d'Benotzung vum DNS Messenger entdeckt gouf, deen allgemeng mat der FIN7 Grupp assoziéiert war. Bei aneren Attacken hu se Chinesesch Saiten an de Code agebaut.
Ausserdeem léisst de Grupp gär Messagen fir Fuerscher hannerloossen. Zum Beispill hunn se net gär datt de Kaspersky Lab MuddyWater op 3. Plaz a senger Bedrohungsbewäertung fir d'Joer gesat huet. Am selwechte Moment huet een - viraussiichtlech de MuddyWater Grupp - e PoC vun engem Exploit op YouTube eropgelueden, deen den LK Antivirus deaktivéiert. Si hunn och e Kommentar ënner dem Artikel hannerlooss.
Screenshots vum Video iwwer Kaspersky Lab Antivirus auszeschalten an de Kommentar hei drënner:
Et ass nach ëmmer schwéier eng eendeiteg Conclusioun iwwer d'Bedeelegung vum "Nima Nikjoo" ze maachen. Group-IB Experten betruecht zwou Versiounen. Nima Nikjoo, tatsächlech, kann en Hacker aus der MuddyWater Grupp sinn, deen duerch seng Noléissegkeet a verstäerkter Aktivitéit am Netz an d'Liicht koum. Déi zweet Optioun ass datt hien bewosst vun anere Membere vum Grupp "exposéiert" gouf fir de Verdacht vu sech selwer ofzeleeën. Op jidde Fall setzt Group-IB seng Fuerschung weider a wäert definitiv seng Resultater berichten.
Wat den iraneschen APTs ugeet, no enger Serie vu Leckage a Leckage, wäerte se wahrscheinlech e seriöse "Debriefing" stellen - Hacker wäerte gezwongen sinn hir Tools eescht z'änneren, hir Bunnen ze botzen a méiglech "Moles" an hire Reien ze fannen. D'Experten hunn net ausgeschloss datt se souguer en Timeout huelen, ma no enger kuerzer Paus sinn déi iranesch APT-Attacke nees fortgaang.
Source: will.com