Irańscy prorządowi hakerzy mają duże kłopoty. Przez całą wiosnę nieznane osoby publikowały na Telegramie „tajne przecieki” – informacje o grupach APT powiązanych z rządem Iranu – Platforma wiertnicza и Mętna woda — ich narzędzia, ofiary, powiązania. Ale nie o wszystkich. W kwietniu specjaliści Group-IB odkryli wyciek adresów pocztowych tureckiej korporacji ASELSAN A.Ş, która zajmuje się produkcją taktycznych radiotelefonów wojskowych i elektronicznych systemów obronnych dla tureckich sił zbrojnych. Anastazja Tichonowa, Lider zespołu ds. zaawansowanych badań zagrożeń Group-IB oraz Nikita Rostowcew, młodszy analityk w Group-IB, opisał przebieg ataku na ASELSAN A.Ş i znalazł potencjalnego uczestnika Mętna woda.
Oświetlenie za pośrednictwem telegramu
Wyciek irańskich grup APT rozpoczął się od tego, że pewne laboratorium Doukhtegan kody źródłowe sześciu narzędzi APT34 (aka OilRig i HelixKitten) ujawniły adresy IP i domeny biorące udział w operacjach, a także dane dotyczące 66 ofiar hakerów, w tym Etihad Airways i Emirates National Oil. Lab Doookhtegan ujawnił także dane na temat dotychczasowej działalności grupy oraz informacje o pracownikach irańskiego Ministerstwa Informacji i Bezpieczeństwa Narodowego, rzekomo powiązanych z działalnością grupy. OilRig to powiązana z Iranem grupa APT, która istnieje od około 2014 r. i której celem są organizacje rządowe, finansowe i wojskowe, a także przedsiębiorstwa energetyczne i telekomunikacyjne na Bliskim Wschodzie i w Chinach.
Po ujawnieniu OilRig wycieki były kontynuowane – w darknecie i na Telegramie pojawiły się informacje o działalności innej propaństwowej grupy z Iranu, MuddyWater. Jednak w przeciwieństwie do pierwszego wycieku, tym razem nie opublikowano kodów źródłowych, ale zrzuty ekranu, w tym zrzuty ekranu kodów źródłowych, serwerów kontrolnych, a także adresy IP dawnych ofiar hakerów. Tym razem za wyciek dotyczący MuddyWater odpowiadali hakerzy Green Leakers. Są właścicielami kilku kanałów Telegramu i witryn w darknecie, w których reklamują i sprzedają dane związane z operacjami MuddyWater.
Cyberszpiedzy z Bliskiego Wschodu
Mętna woda to grupa działająca od 2017 roku na Bliskim Wschodzie. Na przykład, jak zauważają eksperci Group-IB, od lutego do kwietnia 2019 r. hakerzy przeprowadzili serię wysyłek phishingowych skierowanych do rządów, organizacji edukacyjnych, firm finansowych, telekomunikacyjnych i obronnych w Turcji, Iranie, Afganistanie, Iraku i Azerbejdżanie.
Członkowie grupy korzystają z backdoora własnego rozwoju opartego na PowerShell, który nazywa się POWERSTATY. On może:
- zbierać dane o kontach lokalnych i domenowych, dostępnych serwerach plików, wewnętrznych i zewnętrznych adresach IP, nazwie i architekturze systemu operacyjnego;
- przeprowadzić zdalne wykonanie kodu;
- przesyłaj i pobieraj pliki za pośrednictwem C&C;
- wykrywać obecność programów debugujących wykorzystywanych do analizy złośliwych plików;
- zamknij system, jeśli zostaną znalezione programy analizujące złośliwe pliki;
- usuń pliki z dysków lokalnych;
- rób zrzuty ekranu;
- wyłącz zabezpieczenia w produktach Microsoft Office.
W pewnym momencie atakujący popełnili błąd i badaczom z ReaQta udało się uzyskać ostateczny adres IP, który znajdował się w Teheranie. Biorąc pod uwagę cele atakowane przez tę grupę, a także jej cele związane z cyberszpiegostwem, eksperci sugerują, że grupa reprezentuje interesy irańskiego rządu.
Wskaźniki atakuC&C:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Pliki:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye atakuje
10 kwietnia 2019 roku specjaliści Group-IB odkryli wyciek adresów pocztowych tureckiej firmy ASELSAN A.Ş, największej firmy w branży elektroniki wojskowej w Turcji. Jej produkty obejmują radary i elektronikę, elektrooptykę, awionikę, systemy bezzałogowe, systemy lądowe, morskie, broń i systemy obrony powietrznej.
Badając jedną z nowych próbek szkodliwego oprogramowania POWERSTATS, eksperci Group-IB ustalili, że grupa napastników MuddyWater wykorzystała jako przynętę dokument umowę licencyjną pomiędzy Koç Savunma, firmą produkującą rozwiązania z zakresu technologii informacyjnych i obronnych, a Tubitakiem Bilgem , centrum badań nad bezpieczeństwem informacji i zaawansowanymi technologiami. Osobą kontaktową w sprawie Koç Savunma był Tahir Taner Tımış, który zajmował stanowisko Menedżera Programów w Koç Bilgi ve Savunma Teknolojileri A.Ş. od września 2013 do grudnia 2018. Później rozpoczął pracę w ASELSAN A.Ş.
Przykładowy dokument wabika
Gdy użytkownik aktywuje złośliwe makra, na komputer ofiary pobierany jest backdoor POWERSTATS.
Dzięki metadanym tego dokumentu-wabika (MD5: 0638adf8fb4095d60fbef190a759aa9e) badaczom udało się znaleźć trzy dodatkowe próbki zawierające identyczne wartości, w tym datę i godzinę utworzenia, nazwę użytkownika oraz listę zawartych makr:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Zrzut ekranu identycznych metadanych różnych dokumentów-wabików
Jeden z odkrytych dokumentów z nazwiskiem ListOfHackedEmails.doc zawiera listę 34 adresów e-mail należących do domeny @aselsan.com.tr.
Specjaliści Group-IB sprawdzili adresy e-mail w publicznie dostępnych wyciekach i odkryli, że 28 z nich zostało naruszonych w wyniku wcześniej wykrytych wycieków. Sprawdzanie mieszanki dostępnych wycieków wykazało około 400 unikalnych loginów powiązanych z tą domeną i haseł do nich. Możliwe, że napastnicy wykorzystali te publicznie dostępne dane do ataku na firmę ASELSAN A.Ş.
Zrzut ekranu dokumentu ListOfHackedEmails.doc
Zrzut ekranu przedstawiający listę ponad 450 wykrytych par login-hasło w publicznych wyciekach
Wśród odkrytych próbek znalazł się także dokument tytularny F35-Specifications.doc, nawiązując do myśliwca F-35. Dokument przynęty to specyfikacja wielozadaniowego myśliwca bombardującego F-35, podająca parametry samolotu i cenę. Temat tego dokumentu-wabika bezpośrednio wiąże się z odmową USA dostaw F-35 po zakupie przez Turcję systemów S-400 i groźbą przekazania Rosji informacji o F-35 Lightning II.
Wszystkie otrzymane dane wskazywały, że głównymi celami cyberataków MuddyWater były organizacje zlokalizowane w Turcji.
Kim są Gladiyator_CRK i Nima Nikjoo?
Wcześniej, w marcu 2019 r., wykryto szkodliwe dokumenty utworzone przez jednego użytkownika systemu Windows pod pseudonimem Gladiyator_CRK. Dokumenty te rozpowszechniały także backdoora POWERSTATS i łączyły się z serwerem C&C o podobnej nazwie gladiator[.]tk.
Mogło to nastąpić po tym, jak użytkownik Nima Nikjoo opublikował na Twitterze 14 marca 2019 r. próbę odszyfrowania zaciemnionego kodu powiązanego z MuddyWater. W komentarzach do tego tweeta badacz stwierdził, że nie może udostępniać wskaźników zagrożenia dla tego szkodliwego oprogramowania, ponieważ informacje te są poufne. Niestety post został już usunięty, ale jego ślady pozostają w sieci:
Nima Nikjoo jest właścicielką profilu Gladiyator_CRK na irańskich witrynach hostujących wideo dideo.ir i videoi.ir. Na tej stronie demonstruje exploity PoC umożliwiające wyłączenie narzędzi antywirusowych różnych dostawców i ominięcie piaskownic. Nima Nikjoo pisze o sobie, że jest specjalistą ds. bezpieczeństwa sieci, a także inżynierem wstecznym i analitykiem złośliwego oprogramowania, który pracuje dla irańskiej firmy telekomunikacyjnej MTN Irancell.
Zrzut ekranu zapisanych filmów w wynikach wyszukiwania Google:
Później, 19 marca 2019 r., użytkownik Nima Nikjoo na portalu społecznościowym Twitter zmienił swój pseudonim na Malware Fighter, a także usunął powiązane posty i komentarze. Podobnie jak miało to miejsce w serwisie YouTube, usunięto także profil Gladiyator_CRK z serwisu wideo hostującego dideo.ir, a nazwę samego profilu zmieniono na N Tabrizi. Jednak prawie miesiąc później (16 kwietnia 2019 r.) konto na Twitterze ponownie zaczęło używać nazwy Nima Nikjoo.
Podczas badania specjaliści Group-IB odkryli, że Nima Nikjoo była już wspominana w związku z działaniami cyberprzestępczymi. W sierpniu 2014 r. na blogu Iran Khabarestan opublikowano informacje o osobach powiązanych z grupą cyberprzestępczą Iranian Nasr Institute. Jedno z dochodzeń FireEye wykazało, że Nasr Institute był wykonawcą APT33, a także brał udział w atakach DDoS na amerykańskie banki w latach 2011–2013 w ramach kampanii o nazwie Operacja Ababil.
Zatem na tym samym blogu wspomniano o Nimie Nikju-Nikjoo, który opracowywał złośliwe oprogramowanie do szpiegowania Irańczyków, oraz o jego adresie e-mail: gladiyator_cracker@yahoo[.]com.
Zrzut ekranu danych przypisywanych cyberprzestępcom z irańskiego Instytutu Nasra:
Tłumaczenie wyróżnionego tekstu na język rosyjski: Nima Nikio – programista oprogramowania szpiegującego – e-mail:.
Jak wynika z tych informacji, adres e-mail jest powiązany z adresem użytym w atakach oraz użytkownikami Gladiyator_CRK i Nima Nikjoo.
Ponadto w artykule z 15 czerwca 2017 r. stwierdzono, że Nikjoo dopuścił się pewnej nieostrożności, umieszczając w swoim CV odniesienia do Kavosh Security Center. Jeść że Centrum Bezpieczeństwa Kavosh jest wspierane przez państwo irańskie w finansowaniu prorządowych hakerów.
Informacje o firmie, w której pracowała Nima Nikjoo:
Użytkownik Twittera, Nima Nikjoo, w profilu LinkedIn wymienia swoje pierwsze miejsce zatrudnienia jako Kavosh Security Center, gdzie pracował od 2006 do 2014 roku. W swojej pracy badał różne złośliwe oprogramowanie, a także zajmował się pracami związanymi z odwracaniem i zaciemnianiem.
Informacje o firmie, dla której pracowała Nima Nikjoo na LinkedIn:
MuddyWater i wysoka samoocena
Co ciekawe, grupa MuddyWater uważnie monitoruje wszystkie publikowane na jej temat raporty i wiadomości od ekspertów ds. bezpieczeństwa informacji, a nawet początkowo celowo zostawiała fałszywe flagi, aby zmylić badaczy. Na przykład ich pierwsze ataki wprowadziły w błąd ekspertów, wykrywając użycie DNS Messenger, który był powszechnie kojarzony z grupą FIN7. W przypadku innych ataków wstawiano do kodu chińskie ciągi znaków.
Ponadto grupa uwielbia zostawiać wiadomości badaczom. Na przykład nie podobało im się, że Kaspersky Lab umieścił MuddyWater na 3. miejscu w swoim rankingu zagrożeń za ten rok. W tym samym momencie ktoś – prawdopodobnie grupa MuddyWater – przesłał na YouTube PoC exploita, który wyłącza program antywirusowy LK. Zostawili też komentarz pod artykułem.
Zrzuty ekranu filmu przedstawiającego wyłączanie programu antywirusowego Kaspersky Lab i komentarza poniżej:
Nadal trudno wyciągnąć jednoznaczny wniosek na temat zaangażowania „Nima Nikjoo”. Eksperci Group-IB rozważają dwie wersje. Nima Nikjoo rzeczywiście może być hakerem z grupy MuddyWater, który wyszedł na jaw dzięki swoim zaniedbaniom i wzmożonej aktywności w sieci. Druga opcja jest taka, że został celowo „zdemaskowany” przez innych członków grupy, aby odwrócić od siebie podejrzenia. W każdym razie Group-IB kontynuuje badania i na pewno poinformuje o ich wynikach.
Jeśli chodzi o irańskie APT, to po serii przecieków i przecieków prawdopodobnie czeka je poważne „odprawa” – hakerzy będą zmuszeni poważnie zmienić swoje narzędzia, zatrzeć ślady i znaleźć ewentualnych „kretów” w swoich szeregach. Eksperci nie wykluczyli, że skorzystają nawet z przerwy na żądanie, jednak po krótkiej przerwie irańskie ataki APT były kontynuowane.
Źródło: www.habr.com