Iranske pro-regjeringshackere er i store problemer. Utover våren publiserte ukjente "hemmelige lekkasjer" på Telegram - informasjon om APT-grupper knyttet til den iranske regjeringen - Oljerigg и Gjørmete vann — deres verktøy, ofre, forbindelser. Men ikke om alle. I april oppdaget Group-IB-spesialister en lekkasje av postadresser til det tyrkiske selskapet ASELSAN A.Ş, som produserer taktiske militærradioer og elektroniske forsvarssystemer for de tyrkiske væpnede styrkene. Anastasia Tikhonova, Group-IB Advanced Threat Research Team Leader, og Nikita Rostovtsev, junioranalytiker ved Group-IB, beskrev forløpet av angrepet på ASELSAN A.Ş og fant en mulig deltaker Gjørmete vann.
Belysning via Telegram
Lekkasjen av iranske APT-grupper begynte med det faktum at en viss Lab Doukhtegan kildekodene til seks APT34-verktøy (aka OilRig og HelixKitten), avslørte IP-adressene og domenene som var involvert i operasjonene, samt data om 66 ofre for hackere, inkludert Etihad Airways og Emirates National Oil. Lab Doookhtegan lekket også data om gruppens tidligere operasjoner og informasjon om ansatte i det iranske departementet for informasjon og nasjonal sikkerhet som angivelig er knyttet til gruppens operasjoner. OilRig er en Iran-tilknyttet APT-gruppe som har eksistert siden rundt 2014 og retter seg mot offentlige, finansielle og militære organisasjoner, samt energi- og telekommunikasjonsselskaper i Midtøsten og Kina.
Etter at OilRig ble avslørt, fortsatte lekkasjene - informasjon om aktivitetene til en annen pro-stat gruppe fra Iran, MuddyWater, dukket opp på darknet og på Telegram. Men i motsetning til den første lekkasjen, var det denne gangen ikke kildekodene som ble publisert, men dumps, inkludert skjermbilder av kildekodene, kontrollservere, samt IP-adressene til tidligere ofre for hackere. Denne gangen tok Green Leakers-hackere ansvaret for lekkasjen om MuddyWater. De eier flere Telegram-kanaler og darknet-sider hvor de annonserer og selger data relatert til MuddyWater-operasjoner.
Cyberspioner fra Midtøsten
Gjørmete vann er en gruppe som har vært aktiv siden 2017 i Midtøsten. For eksempel, som Group-IB-eksperter bemerker, fra februar til april 2019, gjennomførte hackere en serie phishing-utsendelser rettet mot myndigheter, utdanningsorganisasjoner, finans-, telekommunikasjons- og forsvarsselskaper i Tyrkia, Iran, Afghanistan, Irak og Aserbajdsjan.
Gruppemedlemmene bruker en bakdør til egen utvikling basert på PowerShell, som kalles POWERSTATS. Han kan:
- samle inn data om lokale og domenekontoer, tilgjengelige filservere, interne og eksterne IP-adresser, navn og OS-arkitektur;
- utføre ekstern kjøring av kode;
- last opp og last ned filer via C&C;
- oppdage tilstedeværelsen av feilsøkingsprogrammer som brukes i analysen av ondsinnede filer;
- slå av systemet hvis programmer for å analysere skadelige filer blir funnet;
- slette filer fra lokale stasjoner;
- ta skjermbilder;
- deaktiver sikkerhetstiltak i Microsoft Office-produkter.
På et tidspunkt gjorde angriperne en feil og forskere fra ReaQta klarte å få tak i den endelige IP-adressen, som var lokalisert i Teheran. Gitt målene som ble angrepet av gruppen, så vel som dens mål knyttet til nettspionasje, har eksperter antydet at gruppen representerer interessene til den iranske regjeringen.
AngrepsindikatorerC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
filer:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye under angrep
10. april 2019 oppdaget Group-IB-spesialister en lekkasje av postadresser til det tyrkiske selskapet ASELSAN A.Ş, det største selskapet innen militærelektronikk i Tyrkia. Produktene inkluderer radar og elektronikk, elektrooptikk, avionikk, ubemannede systemer, land-, marine-, våpen- og luftvernsystemer.
Ved å studere en av de nye prøvene av POWERSTATS-malware, fastslo Group-IB-eksperter at MuddyWater-gruppen av angripere brukte som et lokkedokument en lisensavtale mellom Koç Savunma, et selskap som produserer løsninger innen informasjons- og forsvarsteknologi, og Tubitak Bilgem , et forskningssenter for informasjonssikkerhet og avansert teknologi. Kontaktpersonen for Koç Savunma var Tahir Taner Tımış, som hadde stillingen som programleder hos Koç Bilgi ve Savunma Teknolojileri A.Ş. fra september 2013 til desember 2018. Senere begynte han å jobbe hos ASELSAN A.Ş.
Eksempel på lokkedokument
Etter at brukeren aktiverer ondsinnede makroer, lastes POWERSTATS-bakdøren ned til offerets datamaskin.
Takket være metadataene til dette lokkedokumentet (MD5: 0638adf8fb4095d60fbef190a759aa9e) forskere var i stand til å finne tre ekstra prøver som inneholdt identiske verdier, inkludert opprettelsesdato og -klokkeslett, brukernavn og en liste over makroer inneholdt:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Skjermbilde av identiske metadata av ulike lokkedokumenter
Et av de oppdagede dokumentene med navnet ListOfHackedEmails.doc inneholder en liste over 34 e-postadresser som tilhører domenet @aselsan.com.tr.
Group-IB-spesialister sjekket e-postadresser i offentlig tilgjengelige lekkasjer og fant ut at 28 av dem ble kompromittert i tidligere oppdagede lekkasjer. Kontroll av blandingen av tilgjengelige lekkasjer viste rundt 400 unike pålogginger knyttet til dette domenet og passord for dem. Det er mulig at angripere brukte disse offentlig tilgjengelige dataene til å angripe ASELSAN A.Ş.
Skjermbilde av dokumentet ListOfHackedEmails.doc
Skjermbilde av en liste over mer enn 450 oppdagede påloggingspassordpar i offentlige lekkasjer
Blant de oppdagede prøvene var det også et dokument med tittelen F35-Spesifikasjoner.doc, med henvisning til jagerflyet F-35. Agndokumentet er en spesifikasjon for F-35 multi-rolle jagerfly, som indikerer flyets egenskaper og pris. Temaet for dette lokkedokumentet er direkte knyttet til USAs avslag på å levere F-35 etter Tyrkias kjøp av S-400-systemene og trusselen om å overføre informasjon om F-35 Lightning II til Russland.
Alle dataene som ble mottatt indikerte at hovedmålene for MuddyWater cyberangrep var organisasjoner lokalisert i Tyrkia.
Hvem er Gladiyator_CRK og Nima Nikjoo?
Tidligere, i mars 2019, ble ondsinnede dokumenter oppdaget opprettet av én Windows-bruker under kallenavnet Gladiyator_CRK. Disse dokumentene distribuerte også POWERSTATS-bakdøren og koblet til en C&C-server med lignende navn gladiyator[.]tk.
Dette kan ha blitt gjort etter at brukeren Nima Nikjoo postet på Twitter 14. mars 2019, og forsøkte å dekode obfuskert kode assosiert med MuddyWater. I kommentarene til denne tweeten sa forskeren at han ikke kunne dele indikatorer på kompromiss for denne skadelige programvaren, siden denne informasjonen er konfidensiell. Dessverre er innlegget allerede slettet, men spor av det er fortsatt på nettet:
Nima Nikjoo er eieren av Gladiyator_CRK-profilen på de iranske videovertssidene dideo.ir og videoi.ir. På dette nettstedet demonstrerer han PoC-utnyttelser for å deaktivere antivirusverktøy fra forskjellige leverandører og omgå sandkasser. Nima Nikjoo skriver om seg selv at han er en nettverkssikkerhetsspesialist, samt en omvendt ingeniør og malware-analytiker som jobber for MTN Irancell, et iransk telekommunikasjonsselskap.
Skjermbilde av lagrede videoer i Googles søkeresultater:
Senere, 19. mars 2019, endret brukeren Nima Nikjoo på det sosiale nettverket Twitter kallenavnet sitt til Malware Fighter, og slettet også relaterte innlegg og kommentarer. Profilen til Gladiyator_CRK på videoverten dideo.ir ble også slettet, slik tilfellet var på YouTube, og selve profilen ble omdøpt til N Tabrizi. Nesten en måned senere (16. april 2019) begynte imidlertid Twitter-kontoen å bruke navnet Nima Nikjoo igjen.
Under studien oppdaget Group-IB-spesialister at Nima Nikjoo allerede var blitt nevnt i forbindelse med nettkriminelle aktiviteter. I august 2014 publiserte Iran Khabarestan-bloggen informasjon om personer tilknyttet den nettkriminelle gruppen Iranian Nasr Institute. En FireEye-undersøkelse uttalte at Nasr Institute var en kontraktør for APT33 og også var involvert i DDoS-angrep på amerikanske banker mellom 2011 og 2013 som en del av en kampanje kalt Operation Ababil.
Så i den samme bloggen ble Nima Nikju-Nikjoo nevnt, som utviklet malware for å spionere på iranere, og e-postadressen hans: gladiyator_cracker@yahoo[.]com.
Skjermbilde av data tilskrevet nettkriminelle fra Iranian Nasr Institute:
Oversettelse av den uthevede teksten til russisk: Nima Nikio - Spionvareutvikler - E-post:.
Som det fremgår av denne informasjonen, er e-postadressen knyttet til adressen som ble brukt i angrepene og brukerne Gladiyator_CRK og Nima Nikjoo.
I tillegg uttalte artikkelen 15. juni 2017 at Nikjoo var noe uforsiktig med å legge ut referanser til Kavosh sikkerhetssenter på CV-en hans. Spise at Kavosh sikkerhetssenter er støttet av den iranske staten for å finansiere pro-regjeringshackere.
Informasjon om selskapet der Nima Nikjoo jobbet:
Twitter-brukeren Nima Nikjoos LinkedIn-profil viser hans første arbeidssted som Kavosh Security Center, hvor han jobbet fra 2006 til 2014. I løpet av arbeidet studerte han diverse skadevare, og tok også for seg omvendt og obfuskeringsrelatert arbeid.
Informasjon om selskapet Nima Nikjoo jobbet for på LinkedIn:
MuddyWater og høy selvtillit
Det er merkelig at MuddyWater-gruppen nøye overvåker alle rapporter og meldinger fra informasjonssikkerhetseksperter som er publisert om dem, og til og med bevisst la falske flagg først for å kaste forskere fra lukten. For eksempel villedet deres første angrep eksperter ved å oppdage bruken av DNS Messenger, som ofte var assosiert med FIN7-gruppen. I andre angrep satte de kinesiske strenger inn i koden.
I tillegg elsker gruppen å legge igjen beskjeder til forskere. For eksempel likte de ikke at Kaspersky Lab plasserte MuddyWater på 3. plass i trusselvurderingen for året. I samme øyeblikk lastet noen - antagelig MuddyWater-gruppen - opp en PoC av en utnyttelse til YouTube som deaktiverer LK-antivirus. De la også en kommentar under artikkelen.
Skjermbilder av videoen om deaktivering av Kaspersky Lab antivirus og kommentaren nedenfor:
Det er fortsatt vanskelig å trekke en entydig konklusjon om involveringen av «Nima Nikjoo». Group-IB-eksperter vurderer to versjoner. Nima Nikjoo kan faktisk være en hacker fra MuddyWater-gruppen, som kom frem på grunn av sin uaktsomhet og økte aktivitet på nettverket. Det andre alternativet er at han bevisst ble "avslørt" av andre medlemmer av gruppen for å avlede mistanken fra seg selv. Uansett, Group-IB fortsetter sin forskning og vil definitivt rapportere sine resultater.
Når det gjelder iranske APT-er, vil de etter en rekke lekkasjer og lekkasjer sannsynligvis møte en alvorlig "debriefing" - hackere vil bli tvunget til seriøst å bytte verktøy, rydde opp i sporene og finne mulige "føflekker" i rekkene deres. Eksperter utelukket ikke at de til og med ville ta en timeout, men etter en kort pause fortsatte de iranske APT-angrepene igjen.
Kilde: www.habr.com