Il-hackers Iranjani favur il-gvern jinsabu fi problemi kbar. Matul ir-rebbiegħa, nies mhux magħrufa ppubblikaw "tnixxijiet sigrieti" fuq Telegram - informazzjoni dwar gruppi APT assoċjati mal-gvern Iranjan - OilRig и MuddyWater — l-għodod, il-vittmi, il-konnessjonijiet tagħhom. Imma mhux dwar kulħadd. F'April, speċjalisti tal-Grupp-IB skoprew tnixxija ta 'indirizzi postali tal-korporazzjoni Torka ASELSAN A.Ş, li tipproduċi radjijiet militari tattiċi u sistemi ta' difiża elettroniċi għall-forzi armati Torok. Anastasia Tikhonova, Group-IB Advanced Threat Research Team Leader, u Nikita Rostovtsev, analista junior fi Group-IB, iddeskriva l-kors tal-attakk fuq ASELSAN A.Ş u sab parteċipant possibbli MuddyWater.
Illuminazzjoni permezz tat-Telegram
It-tnixxija tal-gruppi APT Iranjani bdiet bil-fatt li ċertu Lab Doukhtegan il-kodiċi tas-sors ta 'sitt għodod APT34 (magħruf ukoll bħala OilRig u HelixKitten), żvelaw l-indirizzi IP u d-dominji involuti fl-operazzjonijiet, kif ukoll dejta dwar 66 vittmi ta' hackers, inklużi Etihad Airways u Emirates National Oil. Lab Doookhtegan ħareġ ukoll dejta dwar l-operazzjonijiet tal-passat tal-grupp u informazzjoni dwar impjegati tal-Ministeru Iranjan tal-Informazzjoni u s-Sigurtà Nazzjonali li allegatament huma assoċjati mal-operazzjonijiet tal-grupp. OilRig huwa grupp APT marbut mal-Iran li ilu jeżisti minn madwar l-2014 u jimmira organizzazzjonijiet governattivi, finanzjarji u militari, kif ukoll kumpaniji tal-enerġija u tat-telekomunikazzjoni fil-Lvant Nofsani u fiċ-Ċina.
Wara li OilRig ġie espost, it-tnixxijiet komplew - informazzjoni dwar l-attivitajiet ta 'grupp ieħor pro-istat mill-Iran, MuddyWater, dehret fuq id-darknet u fuq Telegram. Madankollu, b'differenza mill-ewwel tnixxija, din id-darba ma kinux il-kodiċijiet tas-sors li ġew ippubblikati, iżda miżbliet, inklużi screenshots tal-kodiċijiet tas-sors, servers ta 'kontroll, kif ukoll l-indirizzi IP tal-vittmi tal-passat tal-hackers. Din id-darba, il-hackers tal-Green Leakers ħadu r-responsabbiltà għat-tnixxija dwar MuddyWater. Huma jippossjedu diversi kanali Telegram u siti darknet fejn jirreklamaw u jbigħu dejta relatata mal-operazzjonijiet MuddyWater.
Cyber spies mill-Lvant Nofsani
MuddyWater huwa grupp li ilu attiv mill-2017 fil-Lvant Nofsani. Pereżempju, kif jinnotaw l-esperti tal-Grupp-IB, minn Frar sa April 2019, il-hackers wettqu sensiela ta’ mailings ta’ phishing immirati lejn il-gvern, organizzazzjonijiet edukattivi, kumpaniji finanzjarji, tat-telekomunikazzjoni u tad-difiża fit-Turkija, l-Iran, l-Afganistan, l-Iraq u l-Ażerbajġan.
Il-membri tal-grupp jużaw backdoor tal-iżvilupp tagħhom stess ibbażat fuq PowerShell, li jissejjaħ POWERSTATS. Hu jista:
- jiġbru data dwar kontijiet lokali u tad-dominju, servers ta' fajls disponibbli, indirizzi IP interni u esterni, isem u arkitettura tal-OS;
- twettaq eżekuzzjoni remota tal-kodiċi;
- ittella u tniżżel fajls permezz ta' C&C;
- tiskopri l-preżenza ta 'programmi ta' debugging użati fl-analiżi ta 'fajls malizzjużi;
- għalaq is-sistema jekk jinstabu programmi għall-analiżi ta' fajls malizzjużi;
- ħassar fajls minn drives lokali;
- tieħu screenshots;
- tiddiżattiva miżuri ta' sigurtà fil-prodotti tal-Microsoft Office.
F'xi punt, l-attakkanti għamlu żball u riċerkaturi minn ReaQta irnexxielhom jiksbu l-indirizz IP finali, li kien jinsab f'Tehran. Minħabba l-miri attakkati mill-grupp, kif ukoll l-għanijiet tiegħu relatati maċ-ċiberspjunaġġ, l-esperti ssuġġerew li l-grupp jirrappreżenta l-interessi tal-gvern Iranjan.
Indikaturi tal-attakkC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Fajls:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye taħt attakk
Fl-10 ta 'April, 2019, speċjalisti tal-Grupp-IB skoprew tnixxija ta' indirizzi postali tal-kumpanija Torka ASELSAN A.Ş, l-akbar kumpanija fil-qasam tal-elettronika militari fit-Turkija. Il-prodotti tagħha jinkludu radar u elettronika, elettro-ottika, avjonika, sistemi bla ekwipaġġ, sistemi ta 'difiża tal-art, navali, armi u ajru.
Waqt li jistudjaw wieħed mill-kampjuni ġodda tal-malware POWERSTATS, l-esperti tal-Grupp-IB iddeterminaw li l-grupp ta’ attakkanti MuddyWater uża bħala dokument lixka ftehim ta’ liċenzja bejn Koç Savunma, kumpanija li tipproduċi soluzzjonijiet fil-qasam tat-teknoloġiji tal-informazzjoni u d-difiża, u Tubitak Bilgem. , ċentru ta' riċerka dwar is-sigurtà tal-informazzjoni u teknoloġiji avvanzati. Il-persuna ta' kuntatt għal Koç Savunma kienet Tahir Taner Tımış, li kellu l-pożizzjoni ta' Manager tal-Programmi f'Koç Bilgi ve Savunma Teknolojileri A.Ş. minn Settembru 2013 sa Diċembru 2018. Aktar tard beda jaħdem f'ASELSAN A.Ş.
Kampjun ta 'dokument ta' decoy
Wara li l-utent jattiva macros malizzjużi, il-backdoor POWERSTATS jitniżżel fil-kompjuter tal-vittma.
Grazzi għall-metadejta ta' dan id-dokument ta' decoy (MD5: 0638adf8fb4095d60fbef190a759aa9e) ir-riċerkaturi setgħu jsibu tliet kampjuni addizzjonali li fihom valuri identiċi, inklużi d-data u l-ħin tal-ħolqien, l-isem tal-utent, u lista ta’ macros li jinsabu:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Screenshot ta' metadejta identika ta' diversi dokumenti decoy
Wieħed mid-dokumenti skoperti bl-isem ListOfHackedEmails.doc fih lista ta' 34 indirizz elettroniku li jappartjenu għad-dominju @aselsan.com.tr.
L-ispeċjalisti tal-Grupp-IB ikkontrollaw l-indirizzi tal-email f'tnixxijiet disponibbli pubblikament u sabu li 28 minnhom kienu kompromessi fi tnixxijiet skoperti qabel. Il-verifika tat-taħlita ta' tnixxijiet disponibbli wriet madwar 400 login uniku assoċjat ma' dan id-dominju u passwords għalihom. Huwa possibbli li l-attakkanti użaw din id-dejta disponibbli pubblikament biex jattakkaw lil ASELSAN A.Ş.
Screenshot tad-dokument ListOfHackedEmails.doc
Screenshot ta' lista ta' aktar minn 450 par ta' login-password misjuba fi tnixxijiet pubbliċi
Fost il-kampjuni skoperti kien hemm ukoll dokument bit-titlu F35-Speċifikazzjonijiet.doc, b'referenza għall-ġett tal-ġlied F-35. Id-dokument tal-lixka huwa speċifikazzjoni għall-f-35 multi-role fighter-bomber, li jindika l-karatteristiċi u l-prezz tal-ajruplan. Is-suġġett ta 'dan id-dokument ta' decoy jirrelata direttament mar-rifjut tal-Istati Uniti li jforni F-35s wara x-xiri tat-Turkija tas-sistemi S-400 u t-theddida li tittrasferixxi informazzjoni dwar l-F-35 Lightning II lir-Russja.
Id-dejta kollha li waslet indikat li l-miri ewlenin tal-attakki ċibernetiċi ta’ MuddyWater kienu organizzazzjonijiet li jinsabu fit-Turkija.
Min huma Gladiyator_CRK u Nima Nikjoo?
Aktar kmieni, f'Marzu 2019, ġew skoperti dokumenti malizzjużi maħluqa minn utent wieħed tal-Windows taħt il-laqam Gladiyator_CRK. Dawn id-dokumenti qassmu wkoll il-backdoor POWERSTATS u konnessi ma 'server C&C b'isem simili gladiyator[.]tk.
Dan seta' sar wara li l-utent Nima Nikjoo poġġa fuq Twitter fl-14 ta' Marzu 2019, jipprova jiddekodifika kodiċi mċajpra assoċjat ma' MuddyWater. Fil-kummenti għal dan it-tweet, ir-riċerkatur qal li ma setax jaqsam indikaturi ta’ kompromess għal dan il-malware, peress li din l-informazzjoni hija kunfidenzjali. Sfortunatament, il-post diġà tħassar, iżda traċċi tiegħu jibqgħu onlajn:
Nima Nikjoo hija s-sid tal-profil Gladiyator_CRK fuq is-siti Iranjani tal-hosting tal-vidjow dideo.ir u videoi.ir. Fuq dan is-sit, juri l-isfruttamenti tal-PoC biex jiskonnettja għodod antivirus minn diversi bejjiegħa u jevita sandboxes. Nima Nikjoo jikteb dwaru nnifsu li huwa speċjalista tas-sigurtà tan-netwerk, kif ukoll reverse engineer u analista tal-malware li jaħdem għal MTN Irancell, kumpanija Iranjana tat-telekomunikazzjoni.
Screenshot ta' vidjows salvati fir-riżultati tat-tfittxija ta' Google:
Aktar tard, fid-19 ta’ Marzu 2019, l-utent Nima Nikjoo fuq in-netwerk soċjali Twitter biddel il-laqam tiegħu għal Malware Fighter, u ħassar ukoll posts u kummenti relatati. Il-profil ta' Gladiyator_CRK fuq il-video hosting dideo.ir tħassar ukoll, kif kien il-każ fuq YouTube, u l-profil innifsu ngħata l-isem ġdid ta' N Tabrizi. Madankollu, kważi xahar wara (16 ta’ April 2019), il-kont Twitter reġa’ beda juża l-isem Nima Nikjoo.
Waqt l-istudju, l-ispeċjalisti tal-Grupp-IB skoprew li Nima Nikjoo kien diġà ssemma b’rabta ma’ attivitajiet ċiberkriminali. F'Awwissu 2014, il-blog Iran Khabarestan ippubblika informazzjoni dwar individwi assoċjati mal-grupp ċiberkriminali Iranian Nasr Institute. Investigazzjoni waħda FireEye ddikjarat li Nasr Institute kien kuntrattur għal APT33 u kien involut ukoll f'attakki DDoS fuq banek Amerikani bejn l-2011 u l-2013 bħala parti minn kampanja msejħa Operazzjoni Ababil.
Għalhekk fl-istess blog, issemma Nima Nikju-Nikjoo, li kien qed jiżviluppa malware biex jispija fuq l-Iranjani, u l-indirizz elettroniku tiegħu: gladiyator_cracker@yahoo[.]com.
Screenshot tad-dejta attribwita liċ-ċiberkriminali mill-Istitut Nasr Iranjan:
Traduzzjoni tat-test enfasizzat għar-Russu: Nima Nikio - Żviluppatur Spyware - Email:.
Kif jidher minn din l-informazzjoni, l-indirizz elettroniku huwa assoċjat mal-indirizz użat fl-attakki u l-utenti Gladiyator_CRK u Nima Nikjoo.
Barra minn hekk, l-artiklu tal-15 ta’ Ġunju 2017 iddikjara li Nikjoo kien kemxejn Ŝejjed meta ppubblika referenzi għaċ-Ċentru tas-Sigurtà ta’ Kavosh fuq il-kont tiegħu. Kul li ċ-Ċentru tas-Sigurtà Kavosh huwa appoġġat mill-istat Iranjan biex jiffinanzja hackers favur il-gvern.
Informazzjoni dwar il-kumpanija fejn ħadem Nima Nikjoo:
Il-profil LinkedIn tal-utent ta’ Twitter Nima Nikjoo jelenka l-ewwel post ta’ impjieg tiegħu bħala Kavosh Security Center, fejn ħadem mill-2006 sal-2014. Matul ix-xogħol tiegħu, studja diversi malware, u ttratta wkoll xogħol reverse u relatat mal-obfuscation.
Informazzjoni dwar il-kumpanija li ħadem għaliha Nima Nikjoo fuq LinkedIn:
MuddyWater u self-esteem għoli
Huwa kurjuż li l-grupp MuddyWater jimmonitorja bir-reqqa r-rapporti u l-messaġġi kollha mill-esperti tas-sigurtà tal-informazzjoni ppubblikati dwarhom, u anke deliberatament ħalla bnadar foloz għall-ewwel sabiex jitfgħu r-riċerkaturi mir-riħa. Pereżempju, l-ewwel attakki tagħhom qarrqu lill-esperti billi skoprew l-użu tad-DNS Messenger, li kien komunement assoċjat mal-grupp FIN7. F'attakki oħra, huma daħħlu kordi Ċiniżi fil-kodiċi.
Barra minn hekk, il-grupp iħobb iħalli messaġġi għar-riċerkaturi. Pereżempju, ma għoġbux li Kaspersky Lab poġġa lil MuddyWater fit-3 post fil-klassifikazzjoni tat-theddid tiegħu għas-sena. Fl-istess mument, xi ħadd - preżumibbilment il-grupp MuddyWater - tella PoC ta' sfruttament fuq YouTube li jiskonnettja l-antivirus LK. Ħallew ukoll kumment taħt l-artiklu.
Screenshots tal-video dwar id-diżattivazzjoni tal-antivirus Kaspersky Lab u l-kummentarju hawn taħt:
Għadu diffiċli li ssir konklużjoni mhux ambigwa dwar l-involviment ta '"Nima Nikjoo". L-esperti tal-Grupp-IB qed jikkunsidraw żewġ verżjonijiet. Nima Nikjoo, tabilħaqq, jista 'jkun hacker mill-grupp MuddyWater, li ħareġ fid-dawl minħabba negliġenza tiegħu u żieda fl-attività fuq in-netwerk. It-tieni għażla hija li kien deliberatament "espost" minn membri oħra tal-grupp sabiex jiddevja s-suspett minnhom infushom. Fi kwalunkwe każ, Group-IB ikompli r-riċerka tiegħu u definittivament se jirrapporta r-riżultati tiegħu.
Fir-rigward tal-APTs Iranjani, wara serje ta 'tnixxijiet u tnixxijiet, probabbilment se jiffaċċjaw "debriefing" serju - il-hackers se jkunu sfurzati jibdlu serjament l-għodod tagħhom, inaddfu l-binarji tagħhom u jsibu "moles" possibbli fil-gradi tagħhom. L-esperti ma eskludewx li saħansitra se jieħdu timeout, iżda wara waqfa qasira, reġgħu komplew l-attakki tal-APT Iranjani.
Sors: www.habr.com