Kei te raru nui nga kaiwhaiwhai a Iran e tautoko ana i te kawanatanga. I nga wa katoa o te puna, ka whakaputahia e nga tangata kore mohio "nga riihi ngaro" ki runga Telegram - nga korero mo nga roopu APT e hono ana ki te kawanatanga o Iran - OilRig и Wai paru — a ratou taputapu, patunga, hononga. Engari ehara mo te katoa. I te Paenga-whāwhā, i kitea e nga tohunga o te Roopu-IB te riipene o nga wahitau mēra a te kaporeihana Turkish ASELSAN A.Ş, e whakaputa ana i nga reo irirangi hoia me nga punaha arai hiko mo nga hoia o Turkey. Anastasia Tikhonova, Rōpū-IB Advanced Threat Research Team Leader, me Nikita Rostovtsev, Kaitātari teina i Group-IB, i whakaahua i te huarahi o te whakaeke i runga i te ASELSAN A.Ş ka kitea he kaiuru pea Wai paru.
Whakamaramatanga ma Telegram
Ko te rerenga o nga roopu APT Irani i timata mai i te mea ko tetahi Lab Doukhtegan nga waehere puna o nga taputapu APT34 e ono (aka OilRig me HelixKitten), i whakaatu i nga wahitau IP me nga rohe e uru ana ki nga mahi, me nga raraunga mo te 66 nga patunga o nga kaiwhaiwhai, tae atu ki a Etihad Airways me Emirates National Oil. I tukuna ano e Lab Doookhtegan nga korero mo nga mahi o mua a te roopu me nga korero mo nga kaimahi o te Manatu o Iran mo nga Korero me te Haumaru Motu e kiia ana e hono ana ki nga mahi a te roopu. Ko OilRig he roopu APT e hono ana ki a Iran kua noho mai i te tau 2014 me te aro ki nga whakahaere a te kawanatanga, putea me nga hoia, tae atu ki nga kamupene hiko me nga waea waea i te Middle East me Haina.
Whai muri i te putanga o OilRig, ka haere tonu nga riipene - ko nga korero mo nga mahi a tetahi atu roopu kawanatanga mai i Iran, ko MuddyWater, i puta i runga i te kupenga pouri me te Telegram. Engari, kaore i rite ki te riihi tuatahi, i tenei wa ehara i nga waehere puna i whakaputaina, engari ko nga putunga, tae atu ki nga screenshots o nga waehere puna, nga kaiwhakarato whakahaere, me nga wahitau IP o nga patunga o mua o nga kaiwhaiwhai. I tenei wa, ka mau nga kaiwhaiwhai Green Leakers mo te riihi mo MuddyWater. He maha nga hongere Telegram me nga waahi darknet kei a raatau te panui me te hoko raraunga e pa ana ki nga mahi a MuddyWater.
Nga Tutei Cyber no te Middle East
Wai paru he roopu kua kaha mai i te tau 2017 i te Middle East. Hei tauira, e ai ki nga tohunga o te Roopu-IB, mai i Hui-tanguru ki Paenga-whawha 2019, ka mahia e nga kaiwhaiwhai he raupapa mēra hītinihanga e whai ana ki te kawanatanga, ki nga whakahaere matauranga, ki nga kamupene putea, waea me nga kamupene tiaki i Turkey, Iran, Afghanistan, Iraq me Azerbaijan.
Ka whakamahi nga mema o te roopu i te tatau o muri o to ratau ake whanaketanga i runga i te PowerShell, e kiia nei POWERSTATS. Ka taea e ia:
- kohikohi raraunga mo nga kaute o te rohe me te rohe, nga kaiwhakarato konae e waatea ana, nga wahitau IP o roto me waho, ingoa me te hoahoanga OS;
- te kawe i te mahi waehere mamao;
- tuku me te tango i nga konae ma te C&C;
- kitea te aroaro o nga kaupapa patuiro e whakamahia ana i roto i te tātaritanga o nga konae kino;
- whakawetohia te punaha mena ka kitea nga kaupapa mo te tātari i nga konae kino;
- mukua nga konae mai i nga puku o te rohe;
- tango screenshots;
- whakakorehia nga tikanga haumaru i roto i nga hua Microsoft Office.
I etahi wa, ka pohehe nga kaiwhaiwhai me nga kairangahau mai i ReaQta i whakahaere ki te whiwhi i te IP IP whakamutunga, kei Tehran. I runga i nga whaainga i whakaekehia e te roopu, me ona whainga e pa ana ki te torotoro ipurangi, kua kii nga tohunga ko te roopu e tohu ana i nga hiahia o te kawanatanga o Iran.
Tohu whakaekeC&C:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Kōnae:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Ko Türkiye kei te whakaekea
I te Paenga-whāwhā 10, 2019, i kitea e nga tohunga o te Roopu-IB te riipene o nga wahitau imeera a te kamupene Turkish ASELSAN A.Ş, te kamupene nui rawa atu i roto i te waahanga hikohiko hoia i Turkey. Ko ona hua ko te radar me te hikohiko, electro-optics, avionics, punaha kore, whenua, naval, patu me nga punaha tiaki rangi.
I te ako i tetahi o nga tauira hou o te POWERSTATS malware, ka whakatauhia e nga tohunga o te Roopu-IB ko te roopu MuddyWater o te hunga whakaeke i whakamahi hei tuhinga mounu he kirimana raihana i waenga i a Koç Savunma, he kamupene e whakaputa ana i nga otinga i roto i te waahi o nga korero me nga hangarau tiaki, me Tubitak Bilgem. , he pokapū rangahau haumaru korero me nga hangarau matatau. Ko te tangata whakapā mo Koç Savunma ko Tahir Taner Tımış, nana i pupuri te turanga Kaiwhakahaere Papatono i Koç Bilgi ve Savunma Teknolojileri A.Ş. mai i Mahuru 2013 ki Hakihea 2018. I muri mai ka timata ia ki te mahi i ASELSAN A.Ş.
Tauira tuhinga whakapati
I muri i te whakahohe a te kaiwhakamahi i nga tonotono kino, ka tangohia te POWERSTATS backdoor ki te rorohiko o te patunga.
He mihi ki nga metadata o tenei tuhinga tinihanga (MD5: 0638adf8fb4095d60fbef190a759aa9e) i kitea e nga kairangahau etahi atu tauira e toru e mau ana i nga uara rite, tae atu ki te ra me te wa hanga, te ingoa kaiwhakamahi, me te rarangi tonotono kei roto:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Whakaahuatanga o nga metadata rite o nga momo tuhinga tinihanga
Ko tetahi o nga tuhinga kua kitea me te ingoa ListOfHackedEmails.doc kei roto he rarangi o nga wahitau imeera 34 no te rohe @aselsan.com.tr.
I tirotirohia e nga tohunga o te Rōpū-IB nga wahitau imeera i roto i nga riihi e waatea ana ki te iwi whanui ka kitea e 28 o ratou i taupatupatuhia i nga riipapa kua kitea i mua. I te tirotiro i te ranunga o nga riipapa e waatea ana i kitea e 400 nga takiuru ahurei e hono ana ki tenei rohe me nga kupuhipa mo ratou. I whakamahia pea e nga kaiwhaiwhai enei raraunga e waatea ana ki te iwi ki te whakaeke i a ASELSAN A.Ş.
Whakaahuamata o te tuhinga ListOfHackedEmails.doc
Whakaahuamata o te rarangi neke atu i te 450 kua kitea nga takirua takiuru-kupuhipa i roto i nga riihitanga a te iwi
I roto i nga tauira i kitea he tuhinga me te taitara F35-Specifications.doc, mo te waka rererangi F-35. Ko te tuhinga maunu he tohu mo te F-35 maha nga mahi whawhai-poma, e tohu ana i nga ahuatanga me te utu o te waka rererangi. Ko te kaupapa o tenei tuhinga tinihanga e pa ana ki te kore o te US ki te tuku F-35 i muri i te hokonga a Turkey i nga punaha S-400 me te riri o te whakawhiti korero mo te F-35 Lightning II ki Russia.
Ko nga raraunga katoa i whiwhi i tohu ko nga whaainga matua o nga whakaeke ipurangi a MuddyWater ko nga whakahaere kei Turkey.
Ko wai a Gladiyator_CRK me Nima Nikjoo?
I mua atu, i te Maehe 2019, i kitea nga tuhinga kino i hangaia e tetahi kaiwhakamahi Windows i raro i te ingoa ingoa Gladiyator_CRK. I tohatoha ano enei tuhinga i te POWERSTATS backdoor me te hono ki tetahi tūmau C&C he rite te ingoa gladiator[.]tk.
I mahia pea tenei i muri i te tuku a te kaiwhakamahi a Nima Nikjoo ki runga i a Twitter i te Maehe 14, 2019, e ngana ana ki te wetewete i nga waehere huna e hono ana ki a MuddyWater. I roto i nga korero mo tenei tweet, i kii te kairangahau kaore e taea e ia te tiri i nga tohu whakaraerae mo tenei kino, na te mea he muna enei korero. Heoi, kua mukua kētia te whakairinga, engari kei te ipurangi tonu nga tohu o taua panui:
Ko Nima Nikjoo te rangatira o te whakaaturanga Gladiyator_CRK i runga i nga waahi manaaki ataata Iranian dideo.ir me te videoi.ir. I runga i tenei papaanga, ka whakaatuhia e ia nga mahi PoC ki te whakakore i nga taputapu wheori mai i nga momo kaihoko me te karo i nga pouaka kirikiri. I tuhi a Nima Nikjoo mo ia ano he tohunga mo te haumarutanga whatunga, me te miihini whakamuri me te kaitirotiro kino e mahi ana mo MTN Irancell, he kamupene waea a Iran.
Whakaahuamata o nga ataata kua tiakina ki nga hua rapunga a Google:
I muri mai, i te Poutu-te-rangi 19, 2019, ko te kaiwhakamahi a Nima Nikjoo i runga i te whatunga hapori Twitter ka huri tona ingoa ingoa ki Malware Fighter, me te whakakore i nga pou me nga korero e pa ana. Ko te korero a Gladiyator_CRK i runga i te ataata manaaki dideo.ir i whakakorea ano, pera i te keehi i runga i YouTube, a ko te ingoa ano i whakaingoatia ko N Tabrizi. Heoi, tata ki te marama i muri mai (Aperira 16, 2019), ka timata ano te korero a Twitter ki te ingoa Nima Nikjoo.
I te wa o te rangahau, i kitea e nga tohunga o te Roopu-IB kua whakahuahia a Nima Nikjoo mo nga mahi kino ipurangi. I te marama o Akuhata 2014, i whakaputahia e te Iran Khabarestan blog nga korero mo nga tangata takitahi e hono ana ki te roopu mahi kino ipurangi Iranian Nasr Institute. I kii tetahi rangahau FireEye ko te Nasr Institute he kaikirimana mo APT33, a, i uru ano hoki ki nga whakaeke DDoS ki nga peeke US i waenga i te 2011 me te 2013 hei waahanga o te kaupapa e kiia nei ko Operation Ababil.
Na i roto i te blog kotahi, i whakahuahia a Nima Nikju-Nikjoo, nana nei i whakawhanake te kino ki te tutei i nga Iranians, me tana wahitau imeera: gladiator_cracker@yahoo[.]com.
Whakaahuatanga o nga raraunga e kii ana ki te hunga hara ipurangi mai i te Iranian Nasr Institute:
Te whakamaoritanga o te tuhinga kua tohua ki te reo Rūhia: Nima Nikio - Kaiwhakawhanake Tutei - Īmēra:.
Ka kitea mai i enei korero, ko te wahitau imeera e hono ana ki te wahitau i whakamahia i roto i nga whakaeke me nga kaiwhakamahi Gladiyator_CRK me Nima Nikjoo.
I tua atu, ko te tuhinga Hune 15, 2017 i kii he ahua mangere a Nikjoo ki te tuku tohutoro ki Kavosh Security Center i runga i tana korero. Kai ko te Kavosh Security Center kei te tautokohia e te kawanatanga o Iran ki te putea i nga kaiwhaiwhai a te kawanatanga.
Nga korero mo te kamupene i mahi ai a Nima Nikjoo:
Ko te pūkete LinkedIn a Nima Nikjoo te kaiwhakamahi Twitter e whakarārangi ana i tana waahi mahi tuatahi hei Kavosh Security Center, i mahi ai ia mai i te tau 2006 ki te 2014. I a ia e mahi ana, i akona e ia nga momo kino kino, me te mahi hoki mo nga mahi whakamuri me nga mahi whakaahuru.
Nga korero mo te kamupene i mahi ai a Nima Nikjoo i LinkedIn:
MuddyWater me te kiritau teitei
He mea miharo kei te ata tirotirohia e te roopu MuddyWater nga purongo me nga karere katoa mai i nga tohunga mo te haumarutanga korero i whakaputaina e pa ana ki a raatau, me te ata waiho i nga haki teka i te tuatahi kia kore ai nga kairangahau e hongi. Hei tauira, ko o raatau whakaeke tuatahi i whakapohehe i nga tohunga ma te mohio ki te whakamahi i te DNS Messenger, he mea hono ki te roopu FIN7. I etahi atu whakaeke, i whakauruhia e ratou nga aho Hainamana ki roto i te waehere.
I tua atu, e pai ana te roopu ki te tuku karere mo nga kairangahau. Hei tauira, karekau ratou i pai ki ta Kaspersky Lab i whakanoho a MuddyWater ki te wahi tuatoru i tana whakatauranga riri mo te tau. I taua wa ano, ka tukuna e tetahi - ko te roopu MuddyWater pea - he PoC o te whakamahi ki YouTube ka whakakore i te wheori LK. I waiho ano e ratou he korero i raro i te tuhinga.
Ko nga whakaahua o te ataata mo te whakakore i a Kaspersky Lab wheori me nga korero i raro nei:
He uaua tonu ki te whakatau i nga korero mo te whakaurunga o "Nima Nikjoo". E rua nga waahanga e whakaarohia ana e nga tohunga o te Rōpū-IB. Ko Nima Nikjoo, he hacker pea mai i te roopu MuddyWater, i puta mai i te maramatanga na tona mangere me te piki haere o nga mahi i runga i te whatunga. Ko te whiringa tuarua ko te mea i ata "whakakitea" ia e etahi atu mema o te roopu kia kore ai te whakapae mai i a ratou ano. Ahakoa he aha, kei te haere tonu te rangahau a Group-IB me te tino whakaatu i ona hua.
Mo nga APT o Iran, i muri i te maha o nga rerenga me nga rerenga, ka raru pea ratou ki te "whakamaramatanga" - ka kaha nga kaiwhaiwhai ki te whakarereke i a raatau taputapu, ki te horoi i o raatau ara me te kimi "moles" kei roto i o raatau rarangi. Karekau nga tohunga i kii ka mutu te waahi, engari i muri i te okiokinga poto, ka haere ano nga whakaeke APT a Iran.
Source: will.com