IrÄnas valdÄ«bu atbalstoÅ”ie hakeri ir nonÄkuÅ”i lielÄs nepatikÅ”anÄs. Visu pavasari nezinÄmi cilvÄki telegrammÄ publicÄja "slepenas noplÅ«des" - informÄciju par APT grupÄm, kas saistÄ«tas ar IrÄnas valdÄ«bu - Naftas platformas Šø MuddyWater ā viÅu darbarÄ«ki, upuri, savienojumi. Bet ne par visiem. AprÄ«lÄ« Group-IB speciÄlisti atklÄja Turcijas korporÄcijas ASELSAN A.Å pasta adreÅ”u noplÅ«di, kas ražo taktiskos militÄros radioaparÄtus un elektroniskÄs aizsardzÄ«bas sistÄmas Turcijas bruÅotajiem spÄkiem. Anastasija Tihonova, IB grupas Advanced Threat Research Team vadÄ«tÄjs un Å
ikita Rostovcevs, grupas IB jaunÄkais analÄ«tiÄ·is, aprakstÄ«ja uzbrukuma gaitu ASELSAN A.Å un atrada iespÄjamo dalÄ«bnieku MuddyWater.
Apgaismojums caur telegrammu
IrÄnas APT grupu noplÅ«de sÄkÄs ar noteiktu Lab Doukhtegan
PÄc OilRig atmaskoÅ”anas informÄcijas noplÅ«de turpinÄjÄs - tumÅ”ajÄ tÄ«klÄ un Telegram parÄdÄ«jÄs informÄcija par citas valstiski atbalstoÅ”a grupÄjuma no IrÄnas MuddyWater aktivitÄtÄm. TomÄr atŔķirÄ«bÄ no pirmÄs noplÅ«des Å”oreiz tika publicÄti nevis pirmkodi, bet gan izgÄztuves, tostarp pirmkodu ekrÄnuzÅÄmumi, vadÄ«bas serveri, kÄ arÄ« agrÄko hakeru upuru IP adreses. Å oreiz Green Leakers hakeri uzÅÄmÄs atbildÄ«bu par noplÅ«di par MuddyWater. ViÅiem pieder vairÄki Telegram kanÄli un darknet vietnes, kurÄs viÅi reklamÄ un pÄrdod datus, kas saistÄ«ti ar MuddyWater darbÄ«bÄm.
Kiberspiegi no Tuvajiem Austrumiem
MuddyWater ir grupa, kas Tuvajos Austrumos darbojas kopÅ” 2017. gada. PiemÄram, kÄ atzÄ«mÄ Group-IB eksperti, no 2019. gada februÄra lÄ«dz aprÄ«lim hakeri veica vairÄkus pikŔķerÄÅ”anas sÅ«tÄ«jumus, kuru mÄrÄ·is bija valdÄ«ba, izglÄ«tÄ«bas organizÄcijas, finanÅ”u, telekomunikÄciju un aizsardzÄ«bas uzÅÄmumi TurcijÄ, IrÄnÄ, AfganistÄnÄ, IrÄkÄ un AzerbaidžÄnÄ.
Grupas dalÄ«bnieki izmanto savas attÄ«stÄ«bas aizmugures durvis, pamatojoties uz PowerShell, ko sauc POWERSTATS. ViÅÅ” var:
- apkopot datus par lokÄlajiem un domÄna kontiem, pieejamajiem failu serveriem, iekÅ”ÄjÄm un ÄrÄjÄm IP adresÄm, nosaukumu un OS arhitektÅ«ru;
- veikt attÄlinÄtu koda izpildi;
- augÅ”upielÄdÄt un lejupielÄdÄt failus, izmantojot C&C;
- atklÄt ļaunprÄtÄ«gu failu analÄ«zÄ izmantoto atkļūdoÅ”anas programmu klÄtbÅ«tni;
- izslÄdziet sistÄmu, ja tiek atrastas ļaunprÄtÄ«gu failu analÄ«zes programmas;
- dzÄst failus no vietÄjiem diskdziÅiem;
- uzÅemt ekrÄnuzÅÄmumus;
- atspÄjot droŔības pasÄkumus Microsoft Office produktos.
KÄdÄ brÄ«dÄ« uzbrucÄji kļūdÄ«jÄs un ReaQta pÄtniekiem izdevÄs iegÅ«t galÄ«go IP adresi, kas atradÄs TeherÄnÄ. Å emot vÄrÄ grupÄjuma uzbrukuma mÄrÄ·us, kÄ arÄ« tÄ mÄrÄ·us saistÄ«bÄ ar kiberspiegoÅ”anu, eksperti ierosinÄjuÅ”i, ka grupÄjums pÄrstÄv IrÄnas valdÄ«bas intereses.
Uzbrukuma indikatoriC&C:
- gladiators[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Faili:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Turkiye atrodas uzbrukumÄ
10. gada 2019. aprÄ«lÄ« Group-IB speciÄlisti atklÄja Turcijas uzÅÄmuma ASELSAN A.Å, lielÄkÄ uzÅÄmuma militÄrÄs elektronikas jomÄ TurcijÄ, pasta adreÅ”u noplÅ«di. TÄs produkti ietver radaru un elektroniku, elektrooptiku, aviÄcijas elektroniku, bezpilota sistÄmas, sauszemes, jÅ«ras, ieroÄus un gaisa aizsardzÄ«bas sistÄmas.
IzpÄtot vienu no jaunajiem ļaundabÄ«gÄs programmatÅ«ras POWERSTATS paraugiem, Group-IB eksperti konstatÄja, ka MuddyWater uzbrucÄju grupa kÄ Äsmu izmantoja licences lÄ«gumu starp KoƧ Savunma, uzÅÄmumu, kas ražo risinÄjumus informÄcijas un aizsardzÄ«bas tehnoloÄ£iju jomÄ, un Tubitak Bilgem. , informÄcijas droŔības pÄtniecÄ«bas centrs un progresÄ«vas tehnoloÄ£ijas. KoƧ Savunma kontaktpersona bija Tahir Taner TımıÅ, kurÅ” ieÅÄma programmu vadÄ«tÄja amatu uzÅÄmumÄ KoƧ Bilgi ve Savunma Teknolojileri A.Å. no 2013. gada septembra lÄ«dz 2018. gada decembrim. VÄlÄk viÅÅ” sÄka strÄdÄt ASELSAN A.Å.
MÄnekļa dokumenta paraugs
PÄc tam, kad lietotÄjs aktivizÄ Ä¼aunprÄtÄ«gus makro, POWERSTATS aizmugures durvis tiek lejupielÄdÄtas upura datorÄ.
Pateicoties Ŕī mÄneklÄ«Å”a dokumenta metadatiem (MD5: 0638adf8fb4095d60fbef190a759aa9e) pÄtnieki varÄja atrast trÄ«s papildu paraugus, kas satur identiskas vÄrtÄ«bas, tostarp izveides datumu un laiku, lietotÄjvÄrdu un ietverto makro sarakstu:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
EkrÄnuzÅÄmums ar identiskiem dažÄdu mÄnekļu dokumentu metadatiem
Viens no atklÄtajiem dokumentiem ar vÄrdu ListOfHackedEmails.doc satur 34 domÄnam piederoÅ”u e-pasta adreÅ”u sarakstu @aselsan.com.tr.
Grupas-IB speciÄlisti pÄrbaudÄ«ja e-pasta adreses publiski pieejamÄs informÄcijas noplÅ«dÄs un konstatÄja, ka 28 no tÄm ir apdraudÄtas iepriekÅ” atklÄtajÄs noplÅ«dÄs. PÄrbaudot pieejamo noplūžu kombinÄciju, tika parÄdÄ«ti aptuveni 400 unikÄli pieteikumvÄrdi, kas saistÄ«ti ar Å”o domÄnu, un to paroles. IespÄjams, ka uzbrucÄji izmantoja Å”os publiski pieejamos datus, lai uzbruktu ASELSAN A.Å.
Dokumenta ListOfHackedEmails.doc ekrÄnuzÅÄmums
EkrÄnuzÅÄmums ar vairÄk nekÄ 450 atklÄtu pieteikÅ”anÄs paroļu pÄru saraksta publiskÄs noplÅ«des gadÄ«jumos
Starp atklÄtajiem paraugiem bijis arÄ« dokuments ar nosaukumu F35-SpecifikÄcijas.doc, atsaucoties uz iznÄ«cinÄtÄju F-35. Äsmas dokuments ir daudzfunkcionÄlÄ iznÄ«cinÄtÄja-bumbvedÄja F-35 specifikÄcija, kurÄ norÄdÄ«tas lidmaŔīnas Ä«paŔības un cena. Å Ä« mÄneklÄ«Å”a dokumenta tÄma ir tieÅ”i saistÄ«ta ar ASV atteikÅ”anos piegÄdÄt F-35 pÄc tam, kad Turcija iegÄdÄjÄs S-400 sistÄmas, un draudiem nodot informÄciju par F-35 Lightning II Krievijai.
Visi saÅemtie dati liecinÄja, ka MuddyWater kiberuzbrukumu galvenie mÄrÄ·i bija organizÄcijas, kas atrodas TurcijÄ.
Kas ir Gladiyator_CRK un Nima Nikjoo?
IepriekÅ”, 2019. gada martÄ, tika atklÄti ļaunprÄtÄ«gi dokumenti, ko bija izveidojis viens Windows lietotÄjs ar segvÄrdu Gladiyator_CRK. Å ie dokumenti arÄ« izplatÄ«ja POWERSTATS aizmugures durvis un izveidoja savienojumu ar C&C serveri ar lÄ«dzÄ«gu nosaukumu gladiators[.]tk.
Tas, iespÄjams, tika izdarÄ«ts pÄc tam, kad lietotÄjs Nima Nikjoo 14. gada 2019. martÄ ievietoja Twitter ierakstu, mÄÄ£inot atÅ”ifrÄt apmulsuÅ”o kodu, kas saistÄ«ts ar MuddyWater. KomentÄros Å”im tvÄ«tam pÄtnieks sacÄ«ja, ka nevar dalÄ«ties ar Ŕīs ļaunprogrammatÅ«ras kompromisa rÄdÄ«tÄjiem, jo āāŔī informÄcija ir konfidenciÄla. DiemžÄl ieraksts jau ir dzÄsts, bet pÄdas no tÄ paliek tieÅ”saistÄ:
Nima Nikjoo ir Gladiyator_CRK profila Ä«paÅ”nieks IrÄnas video mitinÄÅ”anas vietnÄs dideo.ir un videoi.ir. Å ajÄ vietnÄ viÅÅ” demonstrÄ PoC izmantoÅ”anu, lai atspÄjotu dažÄdu pÄrdevÄju pretvÄ«rusu rÄ«kus un apietu smilÅ”u kastes. Nima Nikjoo par sevi raksta, ka ir tÄ«kla droŔības speciÄlists, kÄ arÄ« reversais inženieris un ļaunprÄtÄ«gas programmatÅ«ras analÄ«tiÄ·is, kurÅ” strÄdÄ IrÄnas telekomunikÄciju uzÅÄmumÄ MTN Irancell.
Google meklÄÅ”anas rezultÄtos saglabÄto videoklipu ekrÄnuzÅÄmums:
VÄlÄk, 19. gada 2019. martÄ, lietotÄjs Nima Nikjoo sociÄlajÄ tÄ«klÄ Twitter nomainÄ«ja savu segvÄrdu uz Malware Fighter, kÄ arÄ« izdzÄsa saistÄ«tos ierakstus un komentÄrus. Tika dzÄsts arÄ« Gladiyator_CRK profils video mitinÄÅ”anas vietnÄ dideo.ir, kÄ tas notika vietnÄ YouTube, un pats profils tika pÄrdÄvÄts par N Tabrizi. TomÄr gandrÄ«z mÄnesi vÄlÄk (16. gada 2019. aprÄ«lÄ«) Twitter konts atkal sÄka lietot vÄrdu Nima Nikjoo.
PÄtÄ«juma laikÄ Group-IB speciÄlisti atklÄja, ka Nima Nikjoo jau iepriekÅ” minÄts saistÄ«bÄ ar kibernoziedzÄ«gÄm darbÄ«bÄm. 2014. gada augustÄ IrÄnas KhabarestÄnas emuÄrÄ tika publicÄta informÄcija par personÄm, kas saistÄ«tas ar kibernoziedznieku grupÄjumu IrÄnas Nasr Institute. VienÄ FireEye izmeklÄÅ”anÄ tika norÄdÄ«ts, ka Nasr Institute bija APT33 darbuzÅÄmÄjs un bija iesaistÄ«ts arÄ« DDoS uzbrukumos ASV bankÄm laikÄ no 2011. lÄ«dz 2013. gadam kampaÅas ietvaros ar nosaukumu Operation Ababil.
TÄpÄc tajÄ paÅ”Ä emuÄrÄ tika minÄts Nima Nikju-Nikjoo, kurÅ” izstrÄdÄja ļaunprÄtÄ«gu programmatÅ«ru, lai izspiegotu irÄÅus, un viÅa e-pasta adrese: gladiyator_cracker@yahoo[.]com.
EkrÄnuzÅÄmums ar datiem, kas attiecinÄti uz kibernoziedzniekiem no IrÄnas Nasr institÅ«ta:
IzceltÄ teksta tulkojums krievu valodÄ: Nima Nikio ā spiegprogrammatÅ«ras izstrÄdÄtÄjs ā e-pasts:.
KÄ redzams no Ŕīs informÄcijas, e-pasta adrese ir saistÄ«ta ar uzbrukumos izmantoto adresi un lietotÄjiem Gladiyator_CRK un Nima Nikjoo.
TurklÄt 15. gada 2017. jÅ«nija rakstÄ bija teikts, ka Nikdžo bija nedaudz neuzmanÄ«gs, savÄ CV ievietojot atsauces uz KavoÅ”as droŔības centru. Äst
InformÄcija par uzÅÄmumu, kurÄ strÄdÄja Nima Nikjoo:
Twitter lietotÄja Nima Nikjoo LinkedIn profilÄ viÅa pirmÄ darba vieta norÄdÄ«ta kÄ Kavosh Security Center, kurÄ viÅÅ” strÄdÄja no 2006. lÄ«dz 2014. gadam. Sava darba laikÄ viÅÅ” pÄtÄ«ja dažÄdas ļaunprogrammatÅ«ras, kÄ arÄ« nodarbojÄs ar reversu un apmulsinÄÅ”anu.
InformÄcija par uzÅÄmumu, kurÄ Nima Nikjoo strÄdÄja vietnÄ LinkedIn:
MuddyWater un augsta paÅ”cieÅa
Interesanti, ka grupa MuddyWater rÅ«pÄ«gi uzrauga visus par viÅiem publicÄtos informÄcijas droŔības ekspertu ziÅojumus un ziÅojumus un sÄkumÄ pat apzinÄti atstÄja viltus karogus, lai izmestu pÄtniekus no smakas. PiemÄram, viÅu pirmie uzbrukumi maldinÄja ekspertus, atklÄjot DNS Messenger izmantoÅ”anu, kas parasti tika saistÄ«ta ar FIN7 grupu. Citos uzbrukumos viÅi kodÄ ievietoja Ä·Ä«nieÅ”u virknes.
TurklÄt grupai patÄ«k atstÄt ziÅas pÄtniekiem. PiemÄram, viÅiem nepatika, ka Kaspersky Lab savÄ gada apdraudÄjuma reitingÄ ievietoja MuddyWater 3. vietÄ. TajÄ paÅ”Ä brÄ«dÄ« kÄds - domÄjams, MuddyWater grupa - augÅ”upielÄdÄja pakalpojumÄ YouTube ekspluatÄcijas PoC, kas atspÄjo LK antivÄ«rusu. ViÅi arÄ« atstÄja komentÄru zem raksta.
EkrÄnuzÅÄmumi no video par Kaspersky Lab antivÄ«rusa atspÄjoÅ”anu un tÄlÄk sniegtie komentÄri:
Par āNima Nikjooā iesaistÄ«Å”anos vÄl ir grÅ«ti izdarÄ«t viennozÄ«mÄ«gu secinÄjumu. Grupas-IB eksperti apsver divas versijas. Nima Nikjoo patieÅ”Äm var bÅ«t hakeris no MuddyWater grupas, kurÅ” atklÄjÄs viÅa nolaidÄ«bas un palielinÄtas aktivitÄtes dÄļ tÄ«klÄ. Otrs variants ir tÄds, ka viÅu apzinÄti āatmaskojaā citi grupas dalÄ«bnieki, lai novÄrstu aizdomas no viÅiem paÅ”iem. JebkurÄ gadÄ«jumÄ Group-IB turpina izpÄti un noteikti ziÅos par rezultÄtiem.
Kas attiecas uz IrÄnas APT, pÄc virknes noplūžu un noplūžu viÅi, iespÄjams, saskarsies ar nopietnu āizskatÄ«Å”anuā - hakeri bÅ«s spiesti nopietni mainÄ«t savus rÄ«kus, sakopt pÄdas un atrast iespÄjamos ākurmjusā savÄs rindÄs. Eksperti neizslÄdza, ka pat paÅems taimautu, taÄu pÄc neliela pÄrtraukuma IrÄnas APT uzbrukumi atkal turpinÄjÄs.
Avots: www.habr.com