Iraanse regeringsgezinde hackers zitten in grote problemen. Gedurende het voorjaar publiceerden onbekende mensen ‘geheime lekken’ op Telegram – informatie over APT-groepen die banden hebben met de Iraanse regering – booreiland и Modderig water – hun instrumenten, slachtoffers, connecties. Maar niet over iedereen. In april ontdekten specialisten van Group-IB een lek van postadressen van het Turkse bedrijf ASELSAN A.Ş, dat tactische militaire radio's en elektronische verdedigingssystemen produceert voor de Turkse strijdkrachten. Anastasia Tichonova, teamleider van het Group-IB Advanced Threat Research-team, en Nikita Rostovtsev, junior analist bij Group-IB, beschreef het verloop van de aanval op ASELSAN A.Ş en vond een mogelijke deelnemer Modderig water.
Verlichting via Telegram
Het lekken van Iraanse APT-groepen begon met het feit dat een bepaald Lab Doukhtegan de broncodes van zes APT34-tools (ook bekend als OilRig en HelixKitten) onthulden de IP-adressen en domeinen die betrokken waren bij de operaties, evenals gegevens over 66 slachtoffers van hackers, waaronder Etihad Airways en Emirates National Oil. Lab Doookhtegan lekte ook gegevens over de eerdere activiteiten van de groep en informatie over medewerkers van het Iraanse ministerie van Informatie en Nationale Veiligheid die naar verluidt betrokken zijn bij de activiteiten van de groep. OilRig is een aan Iran gelinkte APT-groep die sinds ongeveer 2014 bestaat en zich richt op overheids-, financiële en militaire organisaties, evenals op energie- en telecommunicatiebedrijven in het Midden-Oosten en China.
Nadat OilRig was blootgelegd, gingen de lekken door - informatie over de activiteiten van een andere pro-staatsgroep uit Iran, MuddyWater, verscheen op het darknet en op Telegram. In tegenstelling tot het eerste lek waren het deze keer echter niet de broncodes die werden gepubliceerd, maar dumps, inclusief screenshots van de broncodes, controleservers en de IP-adressen van eerdere slachtoffers van hackers. Deze keer namen de hackers van Green Leakers de verantwoordelijkheid voor het lek over MuddyWater op zich. Ze bezitten verschillende Telegram-kanalen en darknet-sites waar ze adverteren en gegevens gerelateerd aan MuddyWater-activiteiten verkopen.
Cyberspionnen uit het Midden-Oosten
Modderig water is een groep die sinds 2017 actief is in het Midden-Oosten. Zoals deskundigen van Group-IB opmerken, hebben hackers van februari tot april 2019 bijvoorbeeld een reeks phishing-mailings uitgevoerd gericht op de overheid, onderwijsorganisaties, financiële, telecommunicatie- en defensiebedrijven in Turkije, Iran, Afghanistan, Irak en Azerbeidzjan.
De groepsleden maken gebruik van een achterdeur van hun eigen ontwikkeling op basis van PowerShell, die heet POWERSTATS. Hij kan:
- gegevens verzamelen over lokale en domeinaccounts, beschikbare bestandsservers, interne en externe IP-adressen, naam en besturingssysteemarchitectuur;
- uitvoering van code op afstand uitvoeren;
- bestanden uploaden en downloaden via C&C;
- de aanwezigheid detecteren van foutopsporingsprogramma's die worden gebruikt bij de analyse van kwaadaardige bestanden;
- sluit het systeem af als er programma's voor het analyseren van kwaadaardige bestanden worden gevonden;
- verwijder bestanden van lokale schijven;
- schermafbeeldingen maken;
- beveiligingsmaatregelen in Microsoft Office-producten uitschakelen.
Op een gegeven moment maakten de aanvallers een fout en wisten onderzoekers van ReaQta het uiteindelijke IP-adres te bemachtigen, dat zich in Teheran bevond. Gezien de doelen die door de groep worden aangevallen, evenals de doelstellingen met betrekking tot cyberspionage, hebben experts gesuggereerd dat de groep de belangen van de Iraanse regering vertegenwoordigt.
AanvalsindicatorenC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
bestanden:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Turkiye wordt aangevallen
Op 10 april 2019 ontdekten specialisten van Group-IB een lek van postadressen van het Turkse bedrijf ASELSAN A.Ş, het grootste bedrijf op het gebied van militaire elektronica in Turkije. De producten omvatten radar en elektronica, elektro-optica, luchtvaartelektronica, onbemande systemen, land-, marine-, wapens- en luchtverdedigingssystemen.
Bij het bestuderen van een van de nieuwe voorbeelden van de POWERSTATS-malware hebben experts van Group-IB vastgesteld dat de MuddyWater-groep aanvallers als lokaas een licentieovereenkomst gebruikte tussen Koç Savunma, een bedrijf dat oplossingen produceert op het gebied van informatie- en defensietechnologieën, en Tubitak Bilgem. , een onderzoekscentrum voor informatiebeveiliging en geavanceerde technologieën. De contactpersoon voor Koç Savunma was Tahir Taner Tımış, die de functie van programmamanager bekleedde bij Koç Bilgi ve Savunma Teknolojileri A.Ş. van september 2013 tot december 2018. Later ging hij werken bij ASELSAN A.Ş.
Voorbeeld van een lokdocument
Nadat de gebruiker kwaadaardige macro's heeft geactiveerd, wordt de POWERSTATS-achterdeur gedownload naar de computer van het slachtoffer.
Dankzij de metadata van dit lokdocument (MD5: 0638adf8fb4095d60fbef190a759aa9e) konden onderzoekers drie extra voorbeelden vinden die identieke waarden bevatten, waaronder de aanmaakdatum en -tijd, de gebruikersnaam en een lijst met daarin opgenomen macro's:
- LijstVanGehackteE-mails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specificaties.doc (5c6148619abb10bb3789dcfb32f759a6)
Screenshot van identieke metadata van verschillende lokdocumenten
Eén van de ontdekte documenten met de naam LijstVanGehackteE-mails.doc bevat een lijst met 34 e-mailadressen die bij het domein horen @aselsan.com.tr.
Group-IB-specialisten controleerden e-mailadressen in openbaar beschikbare lekken en ontdekten dat 28 daarvan gecompromitteerd waren in eerder ontdekte lekken. Bij het controleren van de mix van beschikbare lekken kwamen ongeveer 400 unieke logins en wachtwoorden voor dit domein naar voren. Het is mogelijk dat aanvallers deze openbaar beschikbare gegevens hebben gebruikt om ASELSAN A.Ş aan te vallen.
Schermafbeelding van het document ListOfHackedEmails.doc
Schermafbeelding van een lijst met meer dan 450 gedetecteerde login-wachtwoordparen in openbare lekken
Onder de ontdekte monsters bevond zich ook een document met de titel F35-Specificaties.doc, verwijzend naar de F-35 straaljager. Het aasdocument is een specificatie voor de F-35 multi-role jachtbommenwerper, waarin de kenmerken en prijs van het vliegtuig worden vermeld. Het onderwerp van dit lokdocument houdt rechtstreeks verband met de weigering van de VS om F-35's te leveren na de aankoop door Turkije van de S-400-systemen en de dreiging om informatie over de F-35 Lightning II aan Rusland over te dragen.
Uit alle ontvangen gegevens bleek dat de belangrijkste doelwitten van MuddyWater-cyberaanvallen organisaties in Turkije waren.
Wie zijn Gladiyator_CRK en Nima Nikjoo?
Eerder, in maart 2019, werden kwaadaardige documenten ontdekt die waren gemaakt door een Windows-gebruiker onder de bijnaam Gladiyator_CRK. Deze documenten verspreidden ook de POWERSTATS-achterdeur en maakten verbinding met een C&C-server met een vergelijkbare naam gladiyator[.]tk.
Dit kan zijn gedaan nadat gebruiker Nima Nikjoo op 14 maart 2019 een bericht op Twitter heeft gepost, in een poging de versluierde code die verband houdt met MuddyWater te decoderen. In de commentaren op deze tweet zei de onderzoeker dat hij geen indicatoren van compromissen voor deze malware kon delen, omdat deze informatie vertrouwelijk is. Helaas is het bericht al verwijderd, maar de sporen ervan blijven online:
Nima Nikjoo is de eigenaar van het Gladiyator_CRK-profiel op de Iraanse videohostingsites dideo.ir en videoi.ir. Op deze site demonstreert hij PoC-exploits om antivirusprogramma's van verschillende leveranciers uit te schakelen en sandboxes te omzeilen. Nima Nikjoo schrijft over zichzelf dat hij een netwerkbeveiligingsspecialist is, maar ook een reverse engineer en malware-analist die werkt voor MTN Irancell, een Iraans telecommunicatiebedrijf.
Screenshot van opgeslagen video's in de zoekresultaten van Google:
Later, op 19 maart 2019, veranderde gebruiker Nima Nikjoo op het sociale netwerk Twitter zijn bijnaam in Malware Fighter en verwijderde ook gerelateerde berichten en opmerkingen. Het profiel van Gladiyator_CRK op de videohosting dideo.ir werd ook verwijderd, zoals het geval was op YouTube, en het profiel zelf werd omgedoopt tot N Tabrizi. Bijna een maand later (16 april 2019) begon het Twitter-account echter weer de naam Nima Nikjoo te gebruiken.
Tijdens het onderzoek ontdekten specialisten van Group-IB dat Nima Nikjoo al genoemd was in verband met cybercriminele activiteiten. In augustus 2014 publiceerde de Iran Khabarestan-blog informatie over personen die banden hadden met de cybercriminele groep Iraanse Nasr Institute. Uit een FireEye-onderzoek bleek dat het Nasr Institute een aannemer was voor APT33 en tussen 2011 en 2013 ook betrokken was bij DDoS-aanvallen op Amerikaanse banken als onderdeel van een campagne genaamd Operatie Ababil.
Dus in dezelfde blog werd Nima Nikju-Nikjoo genoemd, die malware ontwikkelde om Iraniërs te bespioneren, en zijn e-mailadres: gladiyator_cracker@yahoo[.]com.
Screenshot van gegevens toegeschreven aan cybercriminelen van het Iraanse Nasr Instituut:
Vertaling van de gemarkeerde tekst in het Russisch: Nima Nikio - Spyware-ontwikkelaar - E-mail:.
Zoals uit deze informatie blijkt, is het e-mailadres gekoppeld aan het adres dat bij de aanvallen werd gebruikt en aan de gebruikers Gladiyator_CRK en Nima Nikjoo.
Bovendien werd in het artikel van 15 juni 2017 gesteld dat Nikjoo enigszins onzorgvuldig was bij het plaatsen van verwijzingen naar Kavosh Security Center op zijn cv. Eten dat het Kavosh Security Center door de Iraanse staat wordt gesteund om regeringsgezinde hackers te financieren.
Informatie over het bedrijf waar Nima Nikjoo werkte:
Twitter-gebruiker Nima Nikjoo's LinkedIn-profiel vermeldt zijn eerste werkplek als Kavosh Security Center, waar hij van 2006 tot 2014 werkte. Tijdens zijn werk bestudeerde hij verschillende malware, en hield hij zich ook bezig met reverse- en obfuscatie-gerelateerd werk.
Informatie over het bedrijf waar Nima Nikjoo voor werkte op LinkedIn:
MuddyWater en een hoog zelfbeeld
Het is merkwaardig dat de MuddyWater-groep alle rapporten en berichten van informatiebeveiligingsexperts die over hen worden gepubliceerd nauwlettend in de gaten houdt, en in eerste instantie zelfs opzettelijk valse vlaggen heeft achtergelaten om onderzoekers op het verkeerde been te zetten. Hun eerste aanvallen misleidden bijvoorbeeld experts door het gebruik van DNS Messenger te detecteren, dat vaak werd geassocieerd met de FIN7-groep. Bij andere aanvallen voegden ze Chinese strings in de code toe.
Daarnaast laat de groep graag berichten achter voor onderzoekers. Ze vonden het bijvoorbeeld niet leuk dat Kaspersky Lab MuddyWater op de derde plaats plaatste in de dreigingsbeoordeling voor het jaar. Op hetzelfde moment heeft iemand – vermoedelijk de MuddyWater-groep – een PoC van een exploit naar YouTube geüpload die de LK-antivirus uitschakelt. Ze lieten ook een reactie achter onder het artikel.
Screenshots van de video over het uitschakelen van Kaspersky Lab antivirus en het onderstaande commentaar:
Het is nog steeds lastig om een eenduidige conclusie te trekken over de betrokkenheid van ‘Nima Nikjoo’. Experts van Groep-IB overwegen twee versies. Nima Nikjoo is mogelijk een hacker van de MuddyWater-groep, die aan het licht kwam vanwege zijn nalatigheid en toegenomen activiteit op het netwerk. De tweede optie is dat hij opzettelijk werd ‘ontmaskerd’ door andere leden van de groep om de verdenking van henzelf af te leiden. In ieder geval zet Group-IB zijn onderzoek voort en zal zeker de resultaten rapporteren.
Wat de Iraanse APT’s betreft, zullen zij na een reeks lekken en lekken waarschijnlijk te maken krijgen met een serieuze ‘debriefing’ – hackers zullen gedwongen worden hun tools serieus te veranderen, hun sporen op te ruimen en mogelijke ‘mollen’ in hun gelederen te vinden. Deskundigen sloten niet uit dat ze zelfs maar een time-out zouden nemen, maar na een korte pauze gingen de Iraanse APT-aanvallen weer door.
Bron: www.habr.com