Ираны төрийг дэмжигч хакерууд ихээхэн асуудалд оржээ. Хаврын турш үл мэдэгдэх хүмүүс Telegram дээр Ираны засгийн газартай холбоотой APT бүлгүүдийн талаарх мэдээлэл - "нууц алдагдлыг" нийтэлжээ. OilRig и Шаварлаг ус - тэдний хэрэгсэл, хохирогчид, холболтууд. Гэхдээ хүн болгоны тухай биш. Дөрөвдүгээр сард Group-IB-ийн мэргэжилтнүүд Туркийн зэвсэгт хүчинд зориулсан тактикийн цэргийн радио станц, цахим хамгаалалтын систем үйлдвэрлэдэг Туркийн ASELSAN A.Ş корпорацын цахим шуудангийн хаяг алдагдсаныг илрүүлжээ. Анастасия Тихонова, Групп-IB Дэвшилтэт аюул судлалын багийн ахлагч, ба Никита Ростовцев, Group-IB-ийн бага шинжээч, ASELSAN A.Ş-д хийсэн халдлагын явцыг тайлбарлаж, магадгүй оролцогчийг олсон. Шаварлаг ус.
Telegram-ээр дамжуулан флэш
Ираны APT бүлгүүдийн "ус зайлуулах" нь тодорхой лаборатори Духтеганаас эхэлсэн. Зургаан APT34 хэрэгслийн (OilRig ба HelixKitten) эх кодууд нь гүйлгээнд оролцсон IP хаяг, домэйн, түүнчлэн Etihad Airways, Emirates National Oil зэрэг хакеруудын 66 хохирогчийн мэдээллийг илчилсэн. Лаб Духтеган мөн тус бүлэглэлийн өмнөх үйл ажиллагааны талаарх мэдээлэл болон тус бүлэглэлийн үйл ажиллагаатай холбоотой гэгдэж буй Ираны Мэдээлэл, Үндэсний аюулгүй байдлын яамны ажилтнуудын талаарх мэдээллийг хоёуланг нь “цайруулсан”. OilRig нь 2014 оноос хойш үйл ажиллагаагаа явуулж байгаа Ирантай холбоотой APT групп бөгөөд Ойрхи Дорнод болон Хятадын засгийн газар, санхүү, цэргийн байгууллагууд, эрчим хүч, харилцаа холбооны компаниудад чиглэгддэг.
OilRig-д өртсөний дараа "алдагдах" үргэлжилсээр - Ираны өөр нэг муж улсыг дэмжигч MuddyWater бүлэглэлийн үйл ажиллагааны талаарх мэдээлэл darknet болон Telegram дээр гарч ирэв. Гэсэн хэдий ч, анхны алдагдлаас ялгаатай нь энэ удаад эх кодыг биш, харин эх сурвалжийн дэлгэцийн агшин, хяналтын серверүүд, хакеруудын өмнө хохирогчдын IP хаяг зэргийг багтаасан дампууд нийтлэгдсэн байна. Энэ удаад Green Leakers компани MuddyWater алдагдсаны хариуцлагыг хүлээсэн байна. Тэд MuddyWater-ийн үйл ажиллагаатай холбоотой мэдээллийг сурталчилж, зардаг хэд хэдэн Telegram суваг, харанхуй вэб сайтуудыг эзэмшдэг.
Ойрхи Дорнодын кибер тагнуулчид
Шаварлаг ус нь 2017 оноос хойш Ойрхи Дорнодын орнуудад үйл ажиллагаа явуулж буй групп юм. Тухайлбал, Group-IB-ийн шинжээчдийн үзэж байгаагаар 2019 оны XNUMX-р сараас XNUMX-р сар хүртэл хакерууд Турк, Иран, Афганистан, Ирак, Азербайжаны засгийн газар, боловсролын байгууллага, санхүү, харилцаа холбоо, батлан хамгаалахын компаниуд руу чиглэсэн фишинг илгээсэн байна.
Бүлгийн гишүүд PowerShell-д суурилсан өөрсдийн дизайны арын хаалгыг ашигладаг ЭРХ МЭДЭЭЛЭЛ. Тэр чадна:
- локал болон домэйн данс, боломжтой файл сервер, дотоод болон гадаад IP хаяг, үйлдлийн системийн нэр, архитектурын талаархи мэдээллийг цуглуулах;
- алсын кодыг гүйцэтгэх;
- C&C-ээр файл байршуулах, татаж авах;
- хортой файлуудыг шинжлэхэд ашигладаг дибаг хийх програм байгаа эсэхийг тодорхойлох;
- хортой файлд дүн шинжилгээ хийх програм олдвол системийг унтраа;
- дотоод хөтчүүдээс файлуудыг устгах;
- дэлгэцийн агшин авах;
- Microsoft Office бүтээгдэхүүний хамгаалалтын арга хэмжээг идэвхгүй болгох.
Хэзээ нэгэн цагт халдагчид алдаа гаргаж, ReaQta-ийн судлаачид Тегеран хотод байрлах эцсийн IP хаягийг олж авч чаджээ. Тус бүлэглэлийн халдлагад өртсөн бай, кибер тагнуултай холбоотой үүрэг даалгаврыг харгалзан шинжээчид тус бүлэглэлийг Ираны засгийн газрын ашиг сонирхлыг төлөөлдөг гэж үзэж байна.
Довтолгооны үзүүлэлтүүдC&C:
- гладиатор[.]тк
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Файлууд:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Бууны дор Турк
10 оны 2019-р сарын XNUMX-нд Group-IB-ийн мэргэжилтнүүд Туркийн цэргийн электроникийн хамгийн том компани болох Туркийн ASELSAN A.Ş компанийн цахим шуудангийн хаяг алдагдсаныг илрүүлжээ. Түүний бүтээгдэхүүнд радар ба авионик, цахилгаан оптик, авионик, нисгэгчгүй систем, газар, тэнгисийн болон зэвсгийн систем, агаарын довтолгооноос хамгаалах систем орно.
Group-IB-ийн мэргэжилтнүүд POWERSTATS хортой програмын шинэ дээжүүдийн нэгийг судлах явцад MuddyWater халдлага үйлдэгч бүлэглэл мэдээлэл, батлан хамгаалах технологийн шийдлийн компани Коч Савунма болон мэдээллийн аюулгүй байдлын судалгааны Tubitak Bilgem хооронд байгуулсан лицензийн гэрээг хууран мэхлэгч баримт болгон ашигласан болохыг тогтоожээ. төв болон дэвшилтэт технологи. Коч Савунмагийн холбоо барих хүн нь Koç Bilgi ve Savunma Teknolojileri A.Ş-д хөтөлбөрийн менежерээр ажиллаж байсан Тахир Танер Тымыш байв. 2013 оны 2018-р сараас XNUMX оны XNUMX-р сар хүртэл. Дараа нь ASELSAN A.Ş-д ажиллаж эхэлсэн.
Хуурамч баримт бичгийн жишээ
Хэрэглэгч хортой макро идэвхжүүлсний дараа POWERSTATS арын хаалга нь хохирогчийн компьютерт татагдана.
Энэхүү хуурамч баримт бичгийн мета өгөгдлийн ачаар (MD5: 0638adf8fb4095d60fbef190a759aa9e), судлаачид үүсгэсэн огноо, цаг, хэрэглэгчийн нэр, агуулагдсан макросын жагсаалт зэрэг ижил утгатай гурван нэмэлт дээжийг олж чадсан:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc(21aebece73549b3c4355a6060df410e9)
- F35-Үзүүлэлтүүд.doc (5c6148619abb10bb3789dcfb32f759a6)
Төрөл бүрийн зөгийн бал баримтын ижил мета өгөгдлийн дэлгэцийн агшин
Олдсон баримтуудын нэгийг нэрлэсэн ListOfHackedEmails.doc домэйнд хамаарах 34 имэйл хаягийн жагсаалтыг агуулна @aselsan.com.tr.
Групп-IB-ийн мэргэжилтнүүд олон нийтэд ил болсон мэдээллийн цахим шуудангийн хаягийг шалгаж үзээд 28 нь өмнө нь илэрсэн мэдээллийн нууцлалд халдсан болохыг тогтоожээ. Боломжит алдагдлыг шалгахад энэ домайнтай холбоотой 400 орчим өвөрмөц нэвтрэлт болон тэдгээрийн нууц үг байгааг харуулсан. Халдагчид энэхүү олон нийтэд нээлттэй мэдээллийг ашиглан ASELSAN A.Ş-д халдсан байж магадгүй юм.
ListOfHackedEmails.doc-ийн дэлгэцийн агшин
Нийтийн алдагдлаас илэрсэн 450 гаруй нэвтрэх нууц үгийн жагсаалтын дэлгэцийн агшин
Олдсон дээжүүдийн дунд гарчигтай баримт бичиг ч байсан F35-Үзүүлэлтүүд.docF-35 сөнөөгч онгоцыг хэлж байна. Хуурамч бичиг баримт нь F-35 олон үйлдэлт сөнөөгч бөмбөгдөгч онгоцны техникийн үзүүлэлт бөгөөд онгоцны шинж чанар, үнийг харуулсан болно. Энэхүү заль мэхний баримт бичгийн сэдэв нь Турк S-35 системийг худалдаж авсны дараа АНУ F-400-ыг нийлүүлэхээс татгалзаж, F-35 Lightning II-ийн талаарх мэдээллийг Орост шилжүүлэх аюул заналхийлсэнтэй шууд холбоотой юм.
Хүлээн авсан бүх мэдээлэл нь MuddyWater кибер халдлагын гол бай нь Туркт байрладаг байгууллагууд байсныг харуулж байна.
Gladiyator_CRK болон Nima Nikjoo гэж хэн бэ?
Өмнө нь 2019 оны XNUMX-р сард нэг Windows хэрэглэгчийн Gladiyator_CRK хочоор үүсгэсэн хортой баримт бичгүүдийг илрүүлсэн. Эдгээр баримтууд нь мөн POWERSTATS-ийн арын хаалга тарааж, ижил төстэй нэртэй C&C серверт холбогдсон. гладиатор[.]тк.
Нима Никжү 14 оны 2019-р сарын XNUMX-нд MuddyWater-тай холбоотой ойлгомжгүй кодын кодыг тайлах гэж оролдсон Twitter нийтлэлээ нийтэлсний дараа үүнийг хийсэн байж магадгүй юм. Энэхүү жиргээнд бичсэн сэтгэгдэлдээ судлаач энэхүү мэдээлэл нь нууц тул энэ хортой програмын буулт хийх үзүүлэлтүүдийг хуваалцах боломжгүй гэж мэдэгджээ. Харамсалтай нь оруулгыг аль хэдийн устгасан боловч түүний ул мөр сүлжээнд хэвээр байна:
Нима Никжү бол Ираны dideo.ir болон videoi.ir видео байршуулах сайтууд дээрх Gladiyator_CRK профайлын эзэн юм. Энэ сайт дээр тэрээр янз бүрийн үйлдвэрлэгчдийн вирусын эсрэг хэрэгслийг идэвхгүй болгож, хамгаалагдсан хязгаарлагдмал орчинд нэвтрэх боломжийг олгодог PoC-ийн мөлжлөгийг харуулж байна. Нима Никжү өөрийнхөө тухай, сүлжээний аюулгүй байдлын мэргэжилтэн, мөн Ираны харилцаа холбооны MTN Irancell компанид ажилладаг урвуу инженер, хортой програмын шинжээч гэж бичжээ.
Google хайлтын илэрцэд хадгалсан видеонуудын дэлгэцийн агшин:
Хожим нь 19 оны 2019-р сарын 16-ний өдөр Twitter хэрэглэгч Nima Nikjoo өөрийн хочоо Malware Fighter болгон өөрчилж, холбогдох нийтлэл, сэтгэгдлүүдийг устгасан. dideo.ir видео хостинг дээрх Gladiyator_CRK профайлыг мөн YouTube-ийн нэгэн адил устгасан бөгөөд профайлын нэрийг N Tabrizi болгон өөрчилсөн байна. Гэсэн хэдий ч бараг сарын дараа (2019 оны XNUMX-р сарын XNUMX) Twitter хаяг Нима Никжү гэдэг нэрийг дахин ашиглаж эхэлсэн.
Судалгааны явцад Group-IB-ийн мэргэжилтнүүд Нима Никжүүг кибер гэмт хэргийн үйл ажиллагаатай холбоотой гэж аль хэдийн дурьдсан болохыг тогтоожээ. 2014 оны 33-р сард Ираны Хабарестан блогт Ираны Наср институт кибер гэмт хэргийн бүлэглэлтэй холбоотой хүмүүсийн талаарх мэдээллийг нийтэлжээ. FireEye-ийн мөрдөн байцаалтын нэг нь Наср институт нь APT2011-ын гэрээлэгч байсан бөгөөд 2013-XNUMX оны хооронд Абабил ажиллагаа нэртэй кампанит ажлын хүрээнд АНУ-ын банкууд руу хийсэн DDoS халдлагад оролцсон гэж мэдэгджээ.
Иймээс мөн л блогт Иранчуудыг тагнахаар хортой програм хөгжүүлж байсан Нима Никжу-Никжүгийн тухай дурдсан бөгөөд түүний цахим шуудангийн хаяг: gladiyator_cracker@yahoo[.]com.
Ираны Наср хүрээлэнгийн кибер гэмт хэрэгтнүүдтэй холбоотой мэдээллийн дэлгэцийн агшин:
Сонгосон бүтээлийг орос хэл рүү орчуулах: Nima Nikio - Тагнуулын програм хөгжүүлэгч - Имэйл хаяг:.
Энэ мэдээллээс харахад и-мэйл хаяг нь халдлагад ашигласан хаяг болон Gladiyator_CRK болон Nima Nikjoo хэрэглэгчидтэй холбоотой байна.
Нэмж дурдахад, 15 оны 2017-р сарын XNUMX-ны өдрийн нийтлэлд Никжү өөрийн намтартаа Kavosh Security Center компанитай холбоотой холбоосыг нийтлэхдээ бага зэрэг хайхрамжгүй хандсан гэж дурджээ. Идэх Кавош аюулгүй байдлын төв нь засгийн газрын талыг баримтлагч хакеруудыг санхүүжүүлэх зорилгоор Ираны төрөөс дэмжлэг үзүүлдэг.
Нима Никжүгийн ажиллаж байсан компанийн талаарх мэдээлэл:
Твиттер хэрэглэгч Nima Nikjoo-ийн LinkedIn профайл дээр 2006-2014 он хүртэл ажиллаж байсан Кавош аюулгүй байдлын төвийг анхны ажил гэж бичсэн байна. Ажиллах хугацаандаа тэрээр янз бүрийн хортой програмуудыг судалж, урвуу болон будлиантай холбоотой ажлыг хийж байсан.
Нима Никжүгийн LinkedIn дээр ажиллаж байсан компанийн талаарх мэдээлэл:
MuddyWater болон хэт их өөрийгөө үнэлэх
MuddyWater групп нь тэдний талаар нийтэлсэн мэдээллийн аюулгүй байдлын мэргэжилтнүүдийн бүх тайлан, мессежийг сайтар хянаж, судлаачдыг замаас нь холдуулахын тулд эхэндээ зориудаар худал далбаа үлдээсэн нь сонин байна. Жишээлбэл, FIN7 групптэй ихэвчлэн холбоотой байсан DNS Messenger-ийн хэрэглээг олж мэдсэнээр тэдний анхны халдлага мэргэжилтнүүдийг төөрөгдүүлсэн. Бусад халдлагад тэд хятад хэл дээрх мөрүүдийг код руу оруулсан.
Нэмж дурдахад тус бүлэг судлаачдад мессеж үлдээх дуртай. Жишээлбэл, Касперскийн лаборатори жилийн аюулын зэрэглэлд MuddyWater-ийг 3-р байранд оруулсан нь тэдэнд таалагдаагүй. Үүний зэрэгцээ хэн нэгэн, магадгүй MuddyWater групп нь LK вирусны эсрэг програмыг идэвхгүй болгосон PoC-г YouTube-д байршуулсан байна. Тэд мөн нийтлэлийн доор сэтгэгдэл үлдээсэн байна.
Kaspersky Lab антивирусыг идэвхгүй болгох тухай видеоны дэлгэцийн агшин ба түүний доорх тайлбар:
Одоогоор "Нима Никжүү"-ийн оролцооны талаар хоёрдмол утгагүй дүгнэлт хийхэд хэцүү байна. Group-IB-ийн мэргэжилтнүүд хоёр хувилбарыг авч үзэж байна. Нима Никжү үнэхээр өөрийн хайхрамжгүй байдал, онлайн идэвхжил нэмэгдсэний улмаас ил болсон MuddyWater группын хакер байж магадгүй юм. Хоёрдахь хувилбар нь түүнийг өөрсдөдөө сэжиг төрүүлэхийн тулд бүлгийн бусад гишүүд тусгайлан “гэрэлтүүлсэн”. Ямартай ч Групп-Ай Би судалгаагаа үргэлжлүүлж, үр дүнгээ тайлагнах нь гарцаагүй.
Ираны APT-ийн хувьд, хэд хэдэн алдагдсан, алдагдсаны дараа тэд ноцтой "шалгалт"-тай тулгарах магадлалтай - хакерууд багажаа нухацтай өөрчлөх, ул мөрийг цэвэрлэж, тэдний эгнээнд байж болох "мэнгэ" олохоос өөр аргагүй болно. Мэргэжилтнүүд завсарлага авахыг ч үгүйсгээгүй ч хэсэг хугацаанд завсарласны дараа Ираны APT халдлага дахин үргэлжилсэн.
Эх сурвалж: www.habr.com