Ao anatin'ny fahasahiranana lehibe ireo mpijirika Iraniana mpanohana ny governemanta. Nandritra ny lohataona, nisy olona tsy fantatra namoaka “fiporitsaka miafina” tao amin'ny Telegram - fampahalalana momba ireo vondrona APT mifandray amin'ny governemanta Iraniana - OilRig и MuddyWater — ny fitaovany, ny niharam-boina, ny fifandraisany. Fa tsy momba ny rehetra. Tamin'ny volana Aprily, ny manam-pahaizana manokana ao amin'ny Vondrona-IB dia nahita ny fandefasana adiresy mailaka an'ny orinasa Tiorka ASELSAN A.Ş, izay mamokatra radio miaramila tetika sy rafitra fiarovana elektronika ho an'ny tafika Tiorka. Anastasia Tikhonova, Mpitarika Ekipa fikarohana momba ny fandrahonana mivoatra ao amin'ny Vondrona-IB, ary Nikita Rostovtsev, mpandalina zandriny ao amin'ny Group-IB, dia nanoritsoritra ny fandehan'ny fanafihana ny ASELSAN A.Ş ary nahita mpandray anjara mety MuddyWater.
Fanazavana amin'ny Telegram
Nanomboka tamin'ny Lab Doukhtegan iray ny fivoahan'ny vondrona APT Iraniana ny kaody loharanon'ny fitaovana APT34 enina (aka OilRig sy HelixKitten), dia nanambara ny adiresy IP sy ny sehatra tafiditra amin'ny hetsika, ary koa ny angona momba ireo niharam-boina 66, anisan'izany ny Etihad Airways sy Emirates National Oil. Lab Doookhtegan koa dia namoaka angon-drakitra momba ny hetsika taloha nataon'ny vondrona sy ny vaovao momba ny mpiasa ao amin'ny Minisiteran'ny Fampahalalam-baovao sy ny Fiarovam-pirenena Iraniana izay voalaza fa mifandray amin'ny asan'ny vondrona. OilRig dia vondrona APT mifandray amin'i Iran izay efa nisy nanomboka tamin'ny taona 2014 ary mikendry ny governemanta, fikambanana ara-bola ary miaramila, ary koa ny orinasan'ny angovo sy ny fifandraisan-davitra any Afovoany Atsinanana sy Shina.
Taorian'ny nahafantarana an'i OilRig, nitohy ny fivoahana - nipoitra tao amin'ny darknet sy tao amin'ny Telegram ny vaovao momba ny hetsika ataon'ny vondrona mpanohana fanjakana hafa avy any Iran, MuddyWater. Na izany aza, tsy toy ny leaka voalohany, tamin'ity indray mitoraka ity dia tsy ny loharanon-kaody navoaka, fa ny fanariam-pako, anisan'izany ny pikantsarin'ny kaody loharano, mpizara fanaraha-maso, ary koa ny adiresy IP an'ireo niharam-boina taloha. Tamin'ity indray mitoraka ity, ireo mpijirika Green Leakers dia nandray ny andraikiny tamin'ny fivoahana momba ny MuddyWater. Manana fantsona Telegram sy tranokala darknet maromaro izy ireo izay manao dokam-barotra sy mivarotra angona mifandraika amin'ny asa MuddyWater.
Mpitsikilo cyber avy any Afovoany Atsinanana
MuddyWater dia vondrona mavitrika nanomboka tamin'ny taona 2017 tany Afovoany Atsinanana. Ohatra, araka ny fanamarihan'ny manampahaizana ao amin'ny Group-IB, nanomboka tamin'ny Febroary ka hatramin'ny Aprily 2019, ny mpijirika dia nanao andiana mailaka phishing natao ho an'ny governemanta, fikambanana fanabeazana, orinasa ara-bola, fifandraisan-davitra ary fiarovana any Torkia, Iran, Afghanistan, Irak ary Azerbaijan.
Ny mpikambana ao amin'ny vondrona dia mampiasa varavarana ambadiky ny fivoarany manokana mifototra amin'ny PowerShell, izay antsoina POWERSTATS. Afaka:
- manangona angon-drakitra momba ny kaonty eo an-toerana sy sehatra, mpizara rakitra misy, adiresy IP anatiny sy ivelany, anarana ary rafitra OS;
- manatanteraka famonoana kaody lavitra;
- mampakatra sy misintona rakitra amin'ny alalan'ny C&C;
- mamantatra ny fisian'ny programa debugging ampiasaina amin'ny famakafakana ireo rakitra maloto;
- atsaharo ny rafitra raha hita ny programa handinihana ireo rakitra maloto;
- mamafa rakitra amin'ny fiara eo an-toerana;
- maka pikantsary;
- esory ny fepetra fiarovana amin'ny vokatra Microsoft Office.
Nisy fotoana, nanao fahadisoana ireo mpanafika ary ireo mpikaroka avy ao amin'ny ReaQta dia nahavita nahazo ny adiresy IP farany, izay hita ao Tehran. Raha jerena ireo lasibatra notafihin'ny vondrona, ary koa ny tanjony mifandraika amin'ny fitsikilovana an-tserasera, dia nanoro hevitra ireo manampahaizana fa misolo tena ny tombontsoan'ny governemanta Iraniana ny vondrona.
Tondro fanafihanaC&C:
- gladiator [.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
raki-daza:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye voatafika
Tamin'ny 10 aprily 2019, hitan'ny manam-pahaizana manokana momba ny Vondrona-IB ny adiresy mailaka an'ny orinasa Tiorka ASELSAN A.Ş, orinasa lehibe indrindra eo amin'ny sehatry ny elektronika miaramila any Torkia. Ny vokatra ao aminy dia ahitana radar sy elektronika, electro-optics, avionika, rafitra tsy misy olona, tany, tafika an-dranomasina, fitaovam-piadiana ary rafitra fiarovana an'habakabaka.
Tamin'ny fandalinana ny iray amin'ireo santionany vaovao momba ny malware POWERSTATS, ny manam-pahaizana ao amin'ny Group-IB dia nanapa-kevitra fa ny vondrona MuddyWater mpanafika dia nampiasa toy ny antontan-taratasim-pasika fifanarahana fahazoan-dàlana eo amin'i Koç Savunma, orinasa mpamokatra vahaolana eo amin'ny sehatry ny fampahalalam-baovao sy ny teknolojia fiarovana, ary Tubitak Bilgem , foibem-pikarohana momba ny fiarovana ny fampahalalam-baovao sy ny teknolojia avo lenta. Ny olona nifandray tamin'i Koç Savunma dia i Tahir Taner Tımış, izay nitana ny toeran'ny Mpitantana Programa tao amin'ny Koç Bilgi ve Savunma Teknolojileri A.Ş. nanomboka tamin'ny Septambra 2013 ka hatramin'ny Desambra 2018. Taty aoriana dia nanomboka niasa tao amin'ny ASELSAN A.Ş izy.
Santionany antontan-taratasy fandokoana
Aorian'ny faneken'ny mpampiasa ireo macro maloto dia alefa any amin'ny solosain'ilay niharam-boina ny varavarana ambadika POWERSTATS.
Noho ny metadata amin'ity antontan-taratasy fandokoana ity (MD5: 0638adf8fb4095d60fbef190a759aa9e) ny mpikaroka dia afaka nahita santionany telo fanampiny misy sanda mitovy, ao anatin'izany ny daty sy ny ora famoronana, ny solonanarana ary ny lisitry ny macro misy:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Pikantsarin'ny metadata mitovy amin'ny antontan-taratasy fandokoana isan-karazany
Iray amin'ireo antontan-taratasy hita miaraka amin'ny anarana ListOfHackedEmails.doc misy lisitry ny adiresy mailaka 34 an'ny sehatra @aselsan.com.tr.
Ny manam-pahaizana manokana ao amin'ny vondrona-IB dia nanamarina ny adiresy mailaka tamin'ny fivoahana azo ampahibemaso ary nahita fa ny 28 amin'izy ireo dia voatohintohina tamin'ny fivoahana hita teo aloha. Ny fijerena ny fifangaroan'ny fitetezana misy dia nahitana fidirana tokana 400 teo ho eo mifandraika amin'ity sehatra ity sy ny tenimiafina ho azy ireo. Mety ho nampiasa an'io angona azo ampahibemaso io ny mpanafika mba hanafihana ny ASELSAN A.Ş.
Pikantsary amin'ny rakitra ListOfHackedEmails.doc
Pikantsarin'ny lisitry ny 450 mahery hita miaraka amin'ny tenimiafina fidirana amin'ny fivoahana ho an'ny daholobe
Anisan’ireo santionany hita ihany koa ny antontan-taratasy misy ny lohateny F35-Specifications.doc, miresaka momba ny fiaramanidina mpiady F-35. Ny antontan-taratasin'ny baomba dia fanoritsoritana ho an'ny baomba mpiady F-35 marobe, manondro ny toetran'ny fiaramanidina sy ny vidiny. Ny lohahevitra amin'ity antontan-taratasy fandokoana ity dia mifandray mivantana amin'ny fandavan'i Etazonia ny famatsiana F-35 taorian'ny nividianan'i Torkia ny rafitra S-400 sy ny fandrahonana ny famindrana vaovao momba ny F-35 Lightning II ho any Rosia.
Ny angon-drakitra rehetra voaray dia nilaza fa ny tena lasibatra amin'ny fanafihana an-tserasera MuddyWater dia ireo fikambanana any Torkia.
Iza moa i Gladiyator_CRK sy Nima Nikjoo?
Talohan'izay, tamin'ny volana martsa 2019, nisy antontan-taratasy maloto hita noforonin'ny mpampiasa Windows iray amin'ny anaram-bosotra Gladiyator_CRK. Ireo antontan-taratasy ireo koa dia nizara ny POWERSTATS backdoor ary mifandray amin'ny mpizara C&C manana anarana mitovy gladiator [.]tk.
Mety ho natao izany taorian'ny nandefasan'ny mpampiasa Nima Nikjoo tao amin'ny Twitter tamin'ny 14 martsa 2019, nanandrana namadika ny kaody voafandrika mifandray amin'ny MuddyWater. Tao amin'ny fanehoan-kevitra tamin'ity sioka ity, nilaza ilay mpikaroka fa tsy afaka mizara famantarana marimaritra iraisana amin'ity malware ity izy, satria tsiambaratelo ity fampahalalana ity. Indrisy anefa fa efa voafafa ilay lahatsoratra, saingy mbola mijanona an-tserasera ihany ny soritra amin'izany:
Nima Nikjoo no tompon'ny mombamomba ny Gladiyator_CRK ao amin'ny tranonkala fampiantranoana lahatsary Iraniana dideo.ir sy videoi.ir. Amin'ity tranokala ity dia asehony ny fanararaotana ny PoC mba hanafoanana ny fitaovana antivirus amin'ny mpivarotra isan-karazany ary handalo ny sandboxes. Nima Nikjoo dia manoratra momba ny tenany fa manam-pahaizana manokana momba ny fiarovana amin'ny tambajotra izy, ary koa injeniera mivadika sy mpandalina malware miasa amin'ny MTN Irancell, orinasam-pifandraisan-davitra Iraniana.
Pikantsarin'ny horonan-tsary voatahiry ao amin'ny valin'ny fikarohana Google:
Taty aoriana, tamin'ny 19 martsa 2019, ny mpampiasa Nima Nikjoo ao amin'ny tambajotra sosialy Twitter dia nanova ny anaram-bositra ho Malware Fighter, ary nofafana ihany koa ireo lahatsoratra sy fanehoan-kevitra mifandraika amin'izany. Nofafana ihany koa ny mombamomba an'i Gladiyator_CRK tao amin'ny fampiantranoana lahatsary dideo.ir, toy ny nitranga tao amin'ny YouTube, ary ny mombamomba azy dia novana anarana hoe N Tabrizi. Na izany aza, efa ho iray volana taty aoriana (16 aprily 2019), dia nanomboka nampiasa ny anarana Nima Nikjoo indray ny kaonty Twitter.
Nandritra ny fanadihadiana, ireo manam-pahaizana manokana ao amin'ny Vondrona-IB dia nahita fa i Nima Nikjoo dia efa voatonona momba ny asan'ny cybercriminalité. Tamin'ny Aogositra 2014, namoaka vaovao momba ireo olona mifandray amin'ny vondrona Iranian Nasr Institute ny bilaogy Iran Khabarestan. Ny fanadihadian'ny FireEye iray dia nilaza fa ny Nasr Institute dia mpiantoka ny APT33 ary nandray anjara tamin'ny fanafihana DDoS tamin'ny banky amerikana teo anelanelan'ny 2011 sy 2013 ihany koa tao anatin'ny fanentanana antsoina hoe Operation Ababil.
Ka tao amin'io bilaogy io ihany, dia voatonona i Nima Nikju-Nikjoo, izay namolavola malware hitsikilo ny Iraniana, sy ny adiresiny mailaka: gladiator_cracker@yahoo[.]com.
Pikantsarin'ny angon-drakitra nomena ireo mpanao heloka bevava an-tserasera avy amin'ny Iraniana Nasr Institute:
Fandikana ny lahatsoratra nasongadina amin'ny teny Rosiana: Nima Nikio - Mpamorona Spyware - Email:.
Araka ny hita amin'ity fampahalalana ity, ny adiresy mailaka dia mifandray amin'ny adiresy ampiasaina amin'ny fanafihana sy ny mpampiasa Gladiyator_CRK sy Nima Nikjoo.
Fanampin'izany, ny lahatsoratra tamin'ny 15 Jona 2017 dia nilaza fa somary tsy niraharaha i Nikjoo tamin'ny fandefasana references momba ny Kavosh Security Center ao amin'ny resume. Hanina fa ny Kavosh Security Center dia tohanan'ny fanjakana Iraniana hamatsy vola ireo mpijirika mpanohana ny governemanta.
Fampahafantarana momba ny orinasa niasan'i Nima Nikjoo:
Ny mombamomba ny LinkedIn an'i Nima Nikjoo mpampiasa Twitter dia mitanisa ny toerana voalohany niasany ho Kavosh Security Center, izay niasany nanomboka tamin'ny 2006 ka hatramin'ny 2014. Nandritra ny asany dia nianatra malware isan-karazany izy, ary niatrika asa mifandraika amin'ny fanodikodinam-bola sy ny fanodikodinana.
Fampahalalana momba ny orinasa Nima Nikjoo niasa tao amin'ny LinkedIn:
MuddyWater sy ny fiheveran-tena ambony
Mahavariana fa ny vondrona MuddyWater dia manara-maso tsara ny tatitra rehetra sy ny hafatra avy amin'ireo manampahaizana momba ny fiarovana ny vaovao navoaka momba azy ireo, ary ninia nandao saina sandoka mihitsy aza tamin'ny voalohany mba hanesorana ireo mpikaroka. Ohatra, ny fanafihan'izy ireo voalohany dia namitaka ireo manam-pahaizana tamin'ny alàlan'ny fahitana ny fampiasana DNS Messenger, izay matetika mifandray amin'ny vondrona FIN7. Tamin'ny fanafihana hafa dia nampiditra tady sinoa tao anatin'ilay kaody izy ireo.
Ankoatra izany, ny vondrona dia tia mametraka hafatra ho an'ny mpikaroka. Ohatra, tsy tian'izy ireo ny nametrahan'ny Kaspersky Lab an'i MuddyWater amin'ny toerana faha-3 amin'ny naoty fandrahonana ho an'ny taona. Tamin'io fotoana io ihany, nisy olona iray - angamba ny vondrona MuddyWater - nandefa PoC fanararaotana tao amin'ny YouTube izay manakana ny antivirus LK. Nametraka fanamarihana teo ambanin’ilay lahatsoratra koa izy ireo.
Pikantsary amin'ny horonan-tsary momba ny fanesorana ny antivirus Kaspersky Lab sy ny fanehoan-kevitra eto ambany:
Mbola sarotra ny manao fehin-kevitra tsy mazava momba ny fidiran'ny "Nima Nikjoo". Ny manam-pahaizana momba ny vondrona-IB dia mandinika dikan-teny roa. Nima Nikjoo, tokoa, dia mety ho mpijirika avy amin'ny vondrona MuddyWater, izay nipoitra noho ny tsy fitandremany sy ny fitomboan'ny hetsika tao amin'ny tambajotra. Ny safidy faharoa dia ny niniany “nampibaribary” azy tamin’ireo mpikambana hafa tao amin’ilay vondrona mba hialana amin’ny ahiahy. Na izany na tsy izany, manohy ny fikarohana ataony ny Group-IB ary hitatitra tokoa ny valiny.
Raha ny amin'ny APT Iraniana, taorian'ny andian-tsokajy sy fivoahana, dia mety hiatrika “fanadihadiana” matotra izy ireo - ho voatery hanova tanteraka ny fitaovany ireo mpijirika, hanadio ny dian'izy ireo ary hahita “mole” mety ho eo amin'ny laharan'izy ireo. Tsy nanilika ny manam-pahaizana fa haka fotoana kely akory izy ireo, fa taorian'ny fiatoana kely dia nitohy indray ny fanafihana APT Iraniana.
Source: www.habr.com