Penggodam pro-kerajaan Iran berada dalam masalah besar. Sepanjang musim bunga, orang yang tidak dikenali menerbitkan "kebocoran rahsia" di Telegram - maklumat tentang kumpulan APT yang dikaitkan dengan kerajaan Iran - Pelantar minyak ΠΈ Air berlumpur β alat, mangsa, sambungan mereka. Tetapi bukan tentang semua orang. Pada bulan April, pakar Kumpulan-IB menemui kebocoran alamat surat-menyurat perbadanan Turki ASELSAN A.Ε, yang menghasilkan radio tentera taktikal dan sistem pertahanan elektronik untuk angkatan tentera Turki. Anastasia Tikhonova, Ketua Pasukan Penyelidikan Ancaman Lanjutan Kumpulan-IB, dan Nikita Rostovtsev, penganalisis junior di Group-IB, menerangkan perjalanan serangan ke atas ASELSAN A.Ε dan menemui kemungkinan peserta Air berlumpur.
Penerangan melalui Telegram
Kebocoran kumpulan APT Iran bermula dengan fakta bahawa Lab Doukhtegan tertentu kod sumber enam alat APT34 (aka OilRig dan HelixKitten), mendedahkan alamat IP dan domain yang terlibat dalam operasi, serta data mengenai 66 mangsa penggodam, termasuk Etihad Airways dan Emirates National Oil. Lab Doookhtegan juga membocorkan data mengenai operasi masa lalu kumpulan dan maklumat mengenai pekerja Kementerian Penerangan dan Keselamatan Negara Iran yang didakwa dikaitkan dengan operasi kumpulan itu. OilRig ialah kumpulan APT berkaitan Iran yang telah wujud sejak sekitar 2014 dan menyasarkan organisasi kerajaan, kewangan dan ketenteraan, serta syarikat tenaga dan telekomunikasi di Timur Tengah dan China.
Selepas OilRig didedahkan, kebocoran berterusan - maklumat tentang aktiviti kumpulan pro-negara lain dari Iran, MuddyWater, muncul di darknet dan di Telegram. Walau bagaimanapun, tidak seperti kebocoran pertama, kali ini bukan kod sumber yang diterbitkan, tetapi pembuangan, termasuk tangkapan skrin kod sumber, pelayan kawalan, serta alamat IP mangsa penggodam masa lalu. Kali ini, penggodam Green Leakers bertanggungjawab atas kebocoran mengenai MuddyWater. Mereka memiliki beberapa saluran Telegram dan tapak darknet tempat mereka mengiklan dan menjual data yang berkaitan dengan operasi MuddyWater.
Perisik siber dari Timur Tengah
Air berlumpur merupakan kumpulan yang aktif sejak 2017 di Timur Tengah. Sebagai contoh, seperti yang dinyatakan oleh pakar Kumpulan-IB, dari Februari hingga April 2019, penggodam menjalankan satu siri mel pancingan data yang ditujukan kepada kerajaan, organisasi pendidikan, kewangan, telekomunikasi dan syarikat pertahanan di Turki, Iran, Afghanistan, Iraq dan Azerbaijan.
Ahli kumpulan menggunakan pintu belakang pembangunan mereka sendiri berdasarkan PowerShell, yang dipanggil POWERSTATS. Dia boleh:
- mengumpul data tentang akaun tempatan dan domain, pelayan fail yang tersedia, alamat IP dalaman dan luaran, nama dan seni bina OS;
- menjalankan pelaksanaan kod jauh;
- muat naik dan muat turun fail melalui C&C;
- mengesan kehadiran program penyahpepijatan yang digunakan dalam analisis fail berniat jahat;
- tutup sistem jika program untuk menganalisis fail berniat jahat ditemui;
- padam fail daripada pemacu tempatan;
- ambil tangkapan skrin;
- lumpuhkan langkah keselamatan dalam produk Microsoft Office.
Pada satu ketika, penyerang melakukan kesilapan dan penyelidik dari ReaQta berjaya mendapatkan alamat IP akhir, yang terletak di Tehran. Memandangkan sasaran yang diserang oleh kumpulan itu, serta matlamatnya yang berkaitan dengan pengintipan siber, pakar telah mencadangkan bahawa kumpulan itu mewakili kepentingan kerajaan Iran.
Penunjuk seranganS&C:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Fail:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
TΓΌrkiye diserang
Pada 10 April 2019, pakar Kumpulan-IB menemui kebocoran alamat surat-menyurat syarikat Turki ASELSAN A.Ε, syarikat terbesar dalam bidang elektronik ketenteraan di Turki. Produknya termasuk radar dan elektronik, elektro-optik, avionik, sistem tanpa pemandu, darat, tentera laut, senjata dan sistem pertahanan udara.
Mengkaji salah satu sampel baharu perisian hasad POWERSTATS, pakar Kumpulan-IB menentukan bahawa kumpulan penyerang MuddyWater menggunakan sebagai dokumen umpan perjanjian lesen antara KoΓ§ Savunma, sebuah syarikat yang menghasilkan penyelesaian dalam bidang teknologi maklumat dan pertahanan, dan Tubitak Bilgem , pusat penyelidikan keselamatan maklumat dan teknologi canggih. Orang yang boleh dihubungi untuk KoΓ§ Savunma ialah Tahir Taner TΔ±mΔ±Ε, yang memegang jawatan sebagai Pengurus Program di KoΓ§ Bilgi ve Savunma Teknolojileri A.Ε. dari September 2013 hingga Disember 2018. Kemudian dia mula bekerja di ASELSAN A.Ε.
Contoh dokumen umpan
Selepas pengguna mengaktifkan makro berniat jahat, pintu belakang POWERSTATS dimuat turun ke komputer mangsa.
Terima kasih kepada metadata dokumen umpan ini (MD5: 0638adf8fb4095d60fbef190a759aa9e) penyelidik dapat mencari tiga sampel tambahan yang mengandungi nilai yang sama, termasuk tarikh dan masa penciptaan, nama pengguna dan senarai makro yang terkandung:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Tangkapan skrin metadata yang sama bagi pelbagai dokumen umpan
Salah satu dokumen yang ditemui dengan nama ListOfHackedEmails.doc mengandungi senarai 34 alamat e-mel yang dimiliki oleh domain tersebut @aselsan.com.tr.
Pakar Kumpulan-IB menyemak alamat e-mel dalam kebocoran yang tersedia secara umum dan mendapati bahawa 28 daripadanya telah terjejas dalam kebocoran yang ditemui sebelum ini. Menyemak campuran kebocoran yang tersedia menunjukkan kira-kira 400 log masuk unik yang dikaitkan dengan domain ini dan kata laluan untuk mereka. Ada kemungkinan penyerang menggunakan data yang tersedia secara terbuka ini untuk menyerang ASELSAN A.Ε.
Tangkapan skrin dokumen ListOfHackedEmails.doc
Tangkapan skrin senarai lebih daripada 450 pasangan kata laluan log masuk yang dikesan dalam kebocoran awam
Di antara sampel yang ditemui terdapat juga dokumen dengan tajuk F35-Spesifikasi.doc, merujuk kepada jet pejuang F-35. Dokumen umpan adalah spesifikasi untuk pengebom pejuang pelbagai peranan F-35, yang menunjukkan ciri dan harga pesawat. Topik dokumen penipuan ini secara langsung berkaitan dengan keengganan AS untuk membekalkan F-35 selepas Turki membeli sistem S-400 dan ancaman pemindahan maklumat mengenai F-35 Lightning II ke Rusia.
Semua data yang diterima menunjukkan bahawa sasaran utama serangan siber MuddyWater adalah organisasi yang terletak di Turki.
Siapa Gladiyator_CRK dan Nima Nikjoo?
Terdahulu, pada Mac 2019, dokumen berniat jahat ditemui yang dicipta oleh seorang pengguna Windows di bawah nama panggilan Gladiyator_CRK. Dokumen ini juga mengedarkan pintu belakang POWERSTATS dan disambungkan ke pelayan C&C dengan nama yang serupa gladiator[.]tk.
Ini mungkin telah dilakukan selepas pengguna Nima Nikjoo menyiarkan di Twitter pada 14 Mac 2019, cuba menyahkod kod yang dikelirukan yang dikaitkan dengan MuddyWater. Dalam komen kepada tweet ini, penyelidik berkata bahawa dia tidak boleh berkongsi penunjuk kompromi untuk perisian hasad ini, kerana maklumat ini adalah sulit. Malangnya, siaran itu telah dipadamkan, tetapi kesannya kekal dalam talian:
Nima Nikjoo ialah pemilik profil Gladiyator_CRK di laman pengehosan video Iran dideo.ir dan videoi.ir. Di tapak ini, dia menunjukkan eksploitasi PoC untuk melumpuhkan alat antivirus daripada pelbagai vendor dan memintas kotak pasir. Nima Nikjoo menulis tentang dirinya bahawa dia adalah pakar keselamatan rangkaian, serta jurutera terbalik dan penganalisis perisian hasad yang bekerja untuk MTN Irancell, sebuah syarikat telekomunikasi Iran.
Tangkapan skrin video yang disimpan dalam hasil carian Google:
Kemudian, pada 19 Mac 2019, pengguna Nima Nikjoo di rangkaian sosial Twitter menukar nama panggilannya kepada Malware Fighter, dan turut memadamkan siaran dan ulasan berkaitan. Profil Gladiyator_CRK pada pengehosan video dideo.ir juga telah dipadamkan, seperti yang berlaku di YouTube, dan profil itu sendiri telah dinamakan semula sebagai N Tabrizi. Bagaimanapun, hampir sebulan kemudian (16 April 2019), akaun Twitter itu mula menggunakan nama Nima Nikjoo semula.
Semasa kajian, pakar Kumpulan-IB mendapati bahawa Nima Nikjoo telah pun disebut berkaitan dengan aktiviti jenayah siber. Pada Ogos 2014, blog Iran Khabarestan menerbitkan maklumat tentang individu yang dikaitkan dengan kumpulan penjenayah siber Iranian Nasr Institute. Satu siasatan FireEye menyatakan bahawa Institut Nasr adalah kontraktor untuk APT33 dan turut terlibat dalam serangan DDoS ke atas bank AS antara 2011 dan 2013 sebagai sebahagian daripada kempen yang dipanggil Operasi Ababil.
Jadi dalam blog yang sama, Nima Nikju-Nikjoo disebut, yang sedang membangunkan perisian hasad untuk mengintip orang Iran, dan alamat e-melnya: gladiator_cracker@yahoo[.]com.
Tangkapan skrin data yang dikaitkan dengan penjenayah siber dari Institut Nasr Iran:
Terjemahan teks yang diserlahkan ke dalam bahasa Rusia: Nima Nikio - Pembangun Perisian Perisik - E-mel:.
Seperti yang dapat dilihat daripada maklumat ini, alamat e-mel dikaitkan dengan alamat yang digunakan dalam serangan dan pengguna Gladiyator_CRK dan Nima Nikjoo.
Selain itu, artikel 15 Jun 2017 menyatakan bahawa Nikjoo agak cuai dalam menyiarkan rujukan kepada Pusat Keselamatan Kavosh pada resumenya. makan bahawa Pusat Keselamatan Kavosh disokong oleh negara Iran untuk membiayai penggodam pro-kerajaan.
Maklumat tentang syarikat tempat Nima Nikjoo bekerja:
Profil LinkedIn pengguna Twitter Nima Nikjoo menyenaraikan tempat pertamanya bekerja sebagai Pusat Keselamatan Kavosh, tempat dia bekerja dari 2006 hingga 2014. Semasa kerjanya, dia mengkaji pelbagai perisian hasad, dan juga menangani kerja yang berkaitan dengan songsang dan kekeliruan.
Maklumat tentang syarikat Nima Nikjoo bekerja di LinkedIn:
MuddyWater dan harga diri yang tinggi
Adalah pelik bahawa kumpulan MuddyWater memantau dengan teliti semua laporan dan mesej daripada pakar keselamatan maklumat yang diterbitkan tentang mereka, malah dengan sengaja meninggalkan bendera palsu pada mulanya untuk membuang para penyelidik dari haruman itu. Contohnya, serangan pertama mereka mengelirukan pakar dengan mengesan penggunaan DNS Messenger, yang biasanya dikaitkan dengan kumpulan FIN7. Dalam serangan lain, mereka memasukkan rentetan Cina ke dalam kod.
Di samping itu, kumpulan itu suka meninggalkan mesej untuk penyelidik. Sebagai contoh, mereka tidak menyukai Kaspersky Lab meletakkan MuddyWater di tempat ke-3 dalam penarafan ancamannya untuk tahun itu. Pada masa yang sama, seseorang - mungkin kumpulan MuddyWater - memuat naik PoC eksploitasi ke YouTube yang melumpuhkan antivirus LK. Mereka juga meninggalkan komen di bawah artikel tersebut.
Tangkapan skrin video tentang melumpuhkan antivirus Kaspersky Lab dan ulasan di bawah:
Masih sukar untuk membuat kesimpulan yang jelas tentang penglibatan "Nima Nikjoo". Pakar Kumpulan-IB sedang mempertimbangkan dua versi. Nima Nikjoo, sememangnya, mungkin seorang penggodam dari kumpulan MuddyWater, yang diketahui kerana kecuaiannya dan peningkatan aktiviti di rangkaian. Pilihan kedua ialah dia sengaja "didedahkan" oleh ahli kumpulan lain untuk mengalihkan syak wasangka daripada diri mereka sendiri. Walau apa pun, Group-IB meneruskan penyelidikannya dan pasti akan melaporkan keputusannya.
Bagi APT Iran, selepas beberapa siri kebocoran dan kebocoran, mereka mungkin akan menghadapi "debriefing" yang serius - penggodam akan terpaksa menukar alat mereka dengan serius, membersihkan jejak mereka dan mencari kemungkinan "tahi lalat" dalam barisan mereka. Pakar tidak menolak bahawa mereka akan mengambil masa tamat, tetapi selepas berehat sebentar, serangan APT Iran diteruskan lagi.
Sumber: www.habr.com