Duļķaini ūdeņi: kā hakeri no MuddyWater uzbruka Turcijas militārās elektronikas ražotājam

Irānas valdību atbalstošie hakeri ir nonākuši lielās nepatikšanās. Visu pavasari nezināmi cilvēki telegrammā publicēja "slepenas noplūdes" - informāciju par APT grupām, kas saistītas ar Irānas valdību - Naftas platformas и MuddyWater — viņu darbarīki, upuri, savienojumi. Bet ne par visiem. Aprīlī Group-IB speciālisti atklāja Turcijas korporācijas ASELSAN A.Ş pasta adrešu noplūdi, kas ražo taktiskos militāros radioaparātus un elektroniskās aizsardzības sistēmas Turcijas bruņotajiem spēkiem. Anastasija Tihonova, IB grupas Advanced Threat Research Team vadītājs un Ņikita Rostovcevs, grupas IB jaunākais analītiķis, aprakstīja uzbrukuma gaitu ASELSAN A.Ş un atrada iespējamo dalībnieku MuddyWater.

Apgaismojums caur telegrammu

Irānas APT grupu noplūde sākās ar noteiktu Lab Doukhtegan publiskots sešu APT34 rīku (aka OilRig un HelixKitten) pirmkodi atklāja operācijās iesaistītās IP adreses un domēnus, kā arī datus par 66 hakeru upuriem, tostarp Etihad Airways un Emirates National Oil. Lab Doookhtegan arī nopludināja datus par grupas pagātnes darbību un informāciju par Irānas Informācijas un Nacionālās drošības ministrijas darbiniekiem, kuri, iespējams, ir saistīti ar grupas darbību. OilRig ir ar Irānu saistīta APT grupa, kas pastāv aptuveni kopš 2014. gada un kuras mērķis ir valdības, finanšu un militārās organizācijas, kā arī enerģētikas un telekomunikāciju uzņēmumi Tuvajos Austrumos un Ķīnā.

Pēc OilRig atmaskošanas informācijas noplūde turpinājās - tumšajā tīklā un Telegram parādījās informācija par citas valstiski atbalstoša grupējuma no Irānas MuddyWater aktivitātēm. Tomēr atšķirībā no pirmās noplūdes šoreiz tika publicēti nevis pirmkodi, bet gan izgāztuves, tostarp pirmkodu ekrānuzņēmumi, vadības serveri, kā arī agrāko hakeru upuru IP adreses. Šoreiz Green Leakers hakeri uzņēmās atbildību par noplūdi par MuddyWater. Viņiem pieder vairāki Telegram kanāli un darknet vietnes, kurās viņi reklamē un pārdod datus, kas saistīti ar MuddyWater darbībām.

Kiberspiegi no Tuvajiem Austrumiem

MuddyWater ir grupa, kas Tuvajos Austrumos darbojas kopš 2017. gada. Piemēram, kā atzīmē Group-IB eksperti, no 2019. gada februāra līdz aprīlim hakeri veica vairākus pikšķerēšanas sūtījumus, kuru mērķis bija valdība, izglītības organizācijas, finanšu, telekomunikāciju un aizsardzības uzņēmumi Turcijā, Irānā, Afganistānā, Irākā un Azerbaidžānā.

Grupas dalībnieki izmanto savas attīstības aizmugures durvis, pamatojoties uz PowerShell, ko sauc POWERSTATS. Viņš var:

• apkopot datus par lokālajiem un domēna kontiem, pieejamajiem failu serveriem, iekšējām un ārējām IP adresēm, nosaukumu un OS arhitektūru;
• veikt attālinātu koda izpildi;
• augšupielādēt un lejupielādēt failus, izmantojot C&C;
• atklāt ļaunprātīgu failu analīzē izmantoto atkļūdošanas programmu klātbūtni;
• izslēdziet sistēmu, ja tiek atrastas ļaunprātīgu failu analīzes programmas;
• dzēst failus no vietējiem diskdziņiem;
• uzņemt ekrānuzņēmumus;
• atspējot drošības pasākumus Microsoft Office produktos.

Kādā brīdī uzbrucēji kļūdījās un ReaQta pētniekiem izdevās iegūt galīgo IP adresi, kas atradās Teherānā. Ņemot vērā grupējuma uzbrukuma mērķus, kā arī tā mērķus saistībā ar kiberspiegošanu, eksperti ierosinājuši, ka grupējums pārstāv Irānas valdības intereses.

Uzbrukuma indikatoriC&C:

• gladiators[.]tk
• 94.23.148[.]194
• 192.95.21[.]28
• 46.105.84[.]146
• 185.162.235[.]182

Faili:

• 09aabd2613d339d90ddbd4b7c09195a9
• cfa845995b851aacdf40b8e6a5b87ba7
• a61b268e9bc9b7e6c9125cdbfb1c422a
• f12bab5541a7d8ef4bbca81f6fc835a3
• a066f5b93f4ac85e9adfe5ff3b10bc28
• 8a004e93d7ee3b26d94156768bc0839d
• 0638adf8fb4095d60fbef190a759aa9e
• eed599981c097944fa143e7d7f7e17b1
• 21aebece73549b3c4355a6060df410e9
• 5c6148619abb10bb3789dcfb32f759a6

Turkiye atrodas uzbrukumā

10. gada 2019. aprīlī Group-IB speciālisti atklāja Turcijas uzņēmuma ASELSAN A.Ş, lielākā uzņēmuma militārās elektronikas jomā Turcijā, pasta adrešu noplūdi. Tās produkti ietver radaru un elektroniku, elektrooptiku, aviācijas elektroniku, bezpilota sistēmas, sauszemes, jūras, ieročus un gaisa aizsardzības sistēmas.

Izpētot vienu no jaunajiem ļaundabīgās programmatūras POWERSTATS paraugiem, Group-IB eksperti konstatēja, ka MuddyWater uzbrucēju grupa kā ēsmu izmantoja licences līgumu starp Koç Savunma, uzņēmumu, kas ražo risinājumus informācijas un aizsardzības tehnoloģiju jomā, un Tubitak Bilgem. , informācijas drošības pētniecības centrs un progresīvas tehnoloģijas. Koç Savunma kontaktpersona bija Tahir Taner Tımış, kurš ieņēma programmu vadītāja amatu uzņēmumā Koç Bilgi ve Savunma Teknolojileri A.Ş. no 2013. gada septembra līdz 2018. gada decembrim. Vēlāk viņš sāka strādāt ASELSAN A.Ş.

Mānekļa dokumenta paraugs
Pēc tam, kad lietotājs aktivizē ļaunprātīgus makro, POWERSTATS aizmugures durvis tiek lejupielādētas upura datorā.

Pateicoties šī māneklīša dokumenta metadatiem (MD5: 0638adf8fb4095d60fbef190a759aa9e) pētnieki varēja atrast trīs papildu paraugus, kas satur identiskas vērtības, tostarp izveides datumu un laiku, lietotājvārdu un ietverto makro sarakstu:

• ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
• asd.doc (21aebece73549b3c4355a6060df410e9)
• F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)

Ekrānuzņēmums ar identiskiem dažādu mānekļu dokumentu metadatiem

Viens no atklātajiem dokumentiem ar vārdu ListOfHackedEmails.doc satur 34 domēnam piederošu e-pasta adrešu sarakstu @aselsan.com.tr.

Grupas-IB speciālisti pārbaudīja e-pasta adreses publiski pieejamās informācijas noplūdēs un konstatēja, ka 28 no tām ir apdraudētas iepriekš atklātajās noplūdēs. Pārbaudot pieejamo noplūžu kombināciju, tika parādīti aptuveni 400 unikāli pieteikumvārdi, kas saistīti ar šo domēnu, un to paroles. Iespējams, ka uzbrucēji izmantoja šos publiski pieejamos datus, lai uzbruktu ASELSAN A.Ş.

Dokumenta ListOfHackedEmails.doc ekrānuzņēmums

Ekrānuzņēmums ar vairāk nekā 450 atklātu pieteikšanās paroļu pāru saraksta publiskās noplūdes gadījumos
Starp atklātajiem paraugiem bijis arī dokuments ar nosaukumu F35-Specifikācijas.doc, atsaucoties uz iznīcinātāju F-35. Ēsmas dokuments ir daudzfunkcionālā iznīcinātāja-bumbvedēja F-35 specifikācija, kurā norādītas lidmašīnas īpašības un cena. Šī māneklīša dokumenta tēma ir tieši saistīta ar ASV atteikšanos piegādāt F-35 pēc tam, kad Turcija iegādājās S-400 sistēmas, un draudiem nodot informāciju par F-35 Lightning II Krievijai.

Visi saņemtie dati liecināja, ka MuddyWater kiberuzbrukumu galvenie mērķi bija organizācijas, kas atrodas Turcijā.

Kas ir Gladiyator_CRK un Nima Nikjoo?

Iepriekš, 2019. gada martā, tika atklāti ļaunprātīgi dokumenti, ko bija izveidojis viens Windows lietotājs ar segvārdu Gladiyator_CRK. Šie dokumenti arī izplatīja POWERSTATS aizmugures durvis un izveidoja savienojumu ar C&C serveri ar līdzīgu nosaukumu gladiators[.]tk.

Tas, iespējams, tika izdarīts pēc tam, kad lietotājs Nima Nikjoo 14. gada 2019. martā ievietoja Twitter ierakstu, mēģinot atšifrēt apmulsušo kodu, kas saistīts ar MuddyWater. Komentāros šim tvītam pētnieks sacīja, ka nevar dalīties ar šīs ļaunprogrammatūras kompromisa rādītājiem, jo ​​šī informācija ir konfidenciāla. Diemžēl ieraksts jau ir dzēsts, bet pēdas no tā paliek tiešsaistē:

Nima Nikjoo ir Gladiyator_CRK profila īpašnieks Irānas video mitināšanas vietnēs dideo.ir un videoi.ir. Šajā vietnē viņš demonstrē PoC izmantošanu, lai atspējotu dažādu pārdevēju pretvīrusu rīkus un apietu smilšu kastes. Nima Nikjoo par sevi raksta, ka ir tīkla drošības speciālists, kā arī reversais inženieris un ļaunprātīgas programmatūras analītiķis, kurš strādā Irānas telekomunikāciju uzņēmumā MTN Irancell.

Google meklēšanas rezultātos saglabāto videoklipu ekrānuzņēmums:

Vēlāk, 19. gada 2019. martā, lietotājs Nima Nikjoo sociālajā tīklā Twitter nomainīja savu segvārdu uz Malware Fighter, kā arī izdzēsa saistītos ierakstus un komentārus. Tika dzēsts arī Gladiyator_CRK profils video mitināšanas vietnē dideo.ir, kā tas notika vietnē YouTube, un pats profils tika pārdēvēts par N Tabrizi. Tomēr gandrīz mēnesi vēlāk (16. gada 2019. aprīlī) Twitter konts atkal sāka lietot vārdu Nima Nikjoo.

Pētījuma laikā Group-IB speciālisti atklāja, ka Nima Nikjoo jau iepriekš minēts saistībā ar kibernoziedzīgām darbībām. 2014. gada augustā Irānas Khabarestānas emuārā tika publicēta informācija par personām, kas saistītas ar kibernoziedznieku grupējumu Irānas Nasr Institute. Vienā FireEye izmeklēšanā tika norādīts, ka Nasr Institute bija APT33 darbuzņēmējs un bija iesaistīts arī DDoS uzbrukumos ASV bankām laikā no 2011. līdz 2013. gadam kampaņas ietvaros ar nosaukumu Operation Ababil.

Tāpēc tajā pašā emuārā tika minēts Nima Nikju-Nikjoo, kurš izstrādāja ļaunprātīgu programmatūru, lai izspiegotu irāņus, un viņa e-pasta adrese: gladiyator_cracker@yahoo[.]com.

Ekrānuzņēmums ar datiem, kas attiecināti uz kibernoziedzniekiem no Irānas Nasr institūta:

Izceltā teksta tulkojums krievu valodā: Nima Nikio — spiegprogrammatūras izstrādātājs — e-pasts:.

Kā redzams no šīs informācijas, e-pasta adrese ir saistīta ar uzbrukumos izmantoto adresi un lietotājiem Gladiyator_CRK un Nima Nikjoo.

Turklāt 15. gada 2017. jūnija rakstā bija teikts, ka Nikdžo bija nedaudz neuzmanīgs, savā CV ievietojot atsauces uz Kavošas drošības centru. Ēst viedokliska Irānas valsts atbalsta Kavošas drošības centru, lai finansētu valdību atbalstošus hakerus.

Informācija par uzņēmumu, kurā strādāja Nima Nikjoo:

Twitter lietotāja Nima Nikjoo LinkedIn profilā viņa pirmā darba vieta norādīta kā Kavosh Security Center, kurā viņš strādāja no 2006. līdz 2014. gadam. Sava darba laikā viņš pētīja dažādas ļaunprogrammatūras, kā arī nodarbojās ar reversu un apmulsināšanu.

Informācija par uzņēmumu, kurā Nima Nikjoo strādāja vietnē LinkedIn:

MuddyWater un augsta pašcieņa

Interesanti, ka grupa MuddyWater rūpīgi uzrauga visus par viņiem publicētos informācijas drošības ekspertu ziņojumus un ziņojumus un sākumā pat apzināti atstāja viltus karogus, lai izmestu pētniekus no smakas. Piemēram, viņu pirmie uzbrukumi maldināja ekspertus, atklājot DNS Messenger izmantošanu, kas parasti tika saistīta ar FIN7 grupu. Citos uzbrukumos viņi kodā ievietoja ķīniešu virknes.

Turklāt grupai patīk atstāt ziņas pētniekiem. Piemēram, viņiem nepatika, ka Kaspersky Lab savā gada apdraudējuma reitingā ievietoja MuddyWater 3. vietā. Tajā pašā brīdī kāds - domājams, MuddyWater grupa - augšupielādēja pakalpojumā YouTube ekspluatācijas PoC, kas atspējo LK antivīrusu. Viņi arī atstāja komentāru zem raksta.

Ekrānuzņēmumi no video par Kaspersky Lab antivīrusa atspējošanu un tālāk sniegtie komentāri:

Par “Nima Nikjoo” iesaistīšanos vēl ir grūti izdarīt viennozīmīgu secinājumu. Grupas-IB eksperti apsver divas versijas. Nima Nikjoo patiešām var būt hakeris no MuddyWater grupas, kurš atklājās viņa nolaidības un palielinātas aktivitātes dēļ tīklā. Otrs variants ir tāds, ka viņu apzināti “atmaskoja” citi grupas dalībnieki, lai novērstu aizdomas no viņiem pašiem. Jebkurā gadījumā Group-IB turpina izpēti un noteikti ziņos par rezultātiem.

Kas attiecas uz Irānas APT, pēc virknes noplūžu un noplūžu viņi, iespējams, saskarsies ar nopietnu “izskatīšanu” - hakeri būs spiesti nopietni mainīt savus rīkus, sakopt pēdas un atrast iespējamos “kurmjus” savās rindās. Eksperti neizslēdza, ka pat paņems taimautu, taču pēc neliela pārtraukuma Irānas APT uzbrukumi atkal turpinājās.

Avots: www.habr.com