ایراني حکومت پلوه هیکران په لوی مصیبت کې دي. د پسرلي په جریان کې، نامعلومو کسانو په ټیلیګرام کې "پټ لیکونه" خپاره کړل - د ایران حکومت سره د APT ګروپونو په اړه معلومات - OilRig и خټې اوبه - د دوی وسیلې، قربانیان، اړیکې. مګر د هرچا په اړه نه. د اپریل په میاشت کې، د ګروپ-IB متخصصینو د ترکي شرکت ASELSAN A.Ş د بریښنالیک پته کشف کړه، کوم چې د ترکیې وسله والو ځواکونو لپاره تاکتیکي نظامي راډیوګانې او بریښنایی دفاعي سیسټمونه تولیدوي. اناستازیا تیخونوواد ګروپ-IB پرمختللی ګواښ څیړنیز ټیم مشر، او نیکیتا روستوتسیف، په ګروپ-IB کې جونی شنونکي، د ASELSAN A.Ş د برید کورس بیان کړ او یو احتمالي ګډون کوونکی یې وموند خټې اوبه.
د ټیلیګرام له لارې رڼا
د ایران د APT ډلو لیک د دې حقیقت سره پیل شو چې د یو ځانګړي لابراتوار دوختګان
د تیل ریګ افشا کیدو وروسته ، لیکونو دوام درلود - د ایران څخه د یوې بلې دولت پلوه ډلې ، مډی واټر د فعالیتونو په اړه معلومات په تیاره او ټیلیګرام کې څرګند شول. په هرصورت، د لومړي لیک برعکس، دا ځل دا د سرچینې کوډونه نه وو چې خپاره شوي وو، مګر ډمپونه، په شمول د سرچینې کوډونو سکرین شاټونه، د کنټرول سرورونو، او همدارنګه د هکرانو د تیرو قربانیانو IP پتې. دا ځل، د ګرین لیکرز هیکرانو د MuddyWater په اړه د لیک مسؤلیت په غاړه واخیست. دوی د ټیلیګرام ډیری چینلونه او ډارنیټ سایټونه لري چیرې چې دوی د MuddyWater عملیاتو پورې اړوند معلومات اعلانوي او پلوري.
د منځني ختیځ څخه سایبر جاسوسان
خټې اوبه یوه ډله ده چې په منځني ختیځ کې له ۲۰۱۷ کال راهیسې فعاله ده. د مثال په توګه، لکه څنګه چې د ګروپ-IB متخصصین یادونه کوي، د فبروري څخه تر اپریل 2017 پورې، هیکرانو په ترکیه، ایران، افغانستان، عراق او اذربایجان کې د حکومت، تعلیمي موسسو، مالي، مخابراتي او دفاعي شرکتونو په هدف یو لړ فشینګ بریښنالیکونه ترسره کړل.
د ګروپ غړي د PowerShell پر بنسټ د خپل پرمختګ شاته دروازه کاروي، کوم چې ویل کیږي POWERSTATS. هغه کولای شی:
- د محلي او ډومین حسابونو په اړه معلومات راټول کړئ، موجود فایل سرورونه، داخلي او بهرني IP پتې، نوم او د OS جوړښت؛
- د ریموټ کوډ اجرا کول؛
- د C&C له لارې فایلونه اپلوډ او ډاونلوډ کړئ؛
- د ناوړه فایلونو تحلیل کې کارول شوي د ډیبګ کولو برنامو شتون کشف کړئ؛
- سیسټم بند کړئ که چیرې د ناوړه فایلونو تحلیل لپاره برنامې وموندل شي؛
- د محلي ډرایو څخه فایلونه حذف کړئ؛
- سکرین شاټونه واخلئ؛
- د مایکروسافټ دفتر محصولاتو کې د امنیت اقدامات غیر فعال کړئ.
په ځینو وختونو کې، برید کوونکو یوه تېروتنه وکړه او د ریقتا څیړونکي په دې بریالي شول چې وروستی IP پته ترلاسه کړي، کوم چې په تهران کې موقعیت لري. د دې ډلې لخوا برید شوي اهدافو ته په پام سره او همدارنګه د سایبر جاسوسۍ پورې اړوند اهدافو ته په پام سره، کارپوهانو وړاندیز کړی چې دا ډله د ایران د حکومت د ګټو استازیتوب کوي.
د برید شاخصونهC&C:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
فایلونه:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
ترکیه تر برید لاندې ده
د 10 کال د اپریل په 2019، د ګروپ-IB متخصصینو د ترکي شرکت ASELSAN A.Ş د بریښنالیک پته لیک کشف کړ، چې په ترکیه کې د نظامي برقیاتو په برخه کې ترټولو لوی شرکت دی. د دې محصولاتو کې رادار او الکترونیکي، الکترو آپټیکس، ایویونکس، بې پیلوټه سیسټمونه، ځمکني، سمندري، وسلې او د هوایي دفاع سیسټمونه شامل دي.
د POWERSTATS مالویر د یوې نوې نمونې په مطالعه کولو سره، د ګروپ-IB کارپوهانو معلومه کړه چې د برید کونکو د MuddyWater ګروپ د بیت په توګه کارول کیده، د Koç Savunma، د معلوماتو او دفاعي ټیکنالوژیو په برخه کې د حلونو تولیدونکي شرکت، او Tubitak Bilgem ترمنځ د جواز تړون سند. د معلوماتو د امنیت د څیړنې مرکز او پرمختللي ټیکنالوژي. د Koç Savunma لپاره د تماس کس طاهر تانر تیمش و، چې په Koç Bilgi ve Savunma Teknolojileri A.Ş کې د پروګرامونو د مدیر په توګه دنده ترسره کوله. له سپټمبر 2013 څخه تر دسمبر 2018 پورې وروسته یې په ASELSAN A.Ş کې کار پیل کړ.
نمونه د ککړتیا سند
وروسته له دې چې کاروونکي ناوړه میکرو فعال کړي، د پاورسټات شاته دروازه د قرباني کمپیوټر ته ډاونلوډ کیږي.
د دې ډیکوی سند میټاډاټا څخه مننه (MD5: 0638adf8fb4095d60fbef190a759aa9e) څیړونکي وتوانیدل چې درې اضافي نمونې ومومي چې ورته ارزښتونه لري، پشمول د جوړولو نیټه او وخت، کارن نوم، او د میکرو لیست شامل دي:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
د مختلف ډیکوی اسنادو د ورته میټاډاټا سکرین شاټ
په نوم سره یو کشف شوی اسناد ListOfHackedEmails.doc د ډومین پورې اړوند د 34 بریښنالیک پتې لیست لري @aselsan.com.tr.
د ګروپ-IB متخصصینو په عامه توګه موجود لیکونو کې د بریښنالیک پتې چیک کړې او وموندله چې د دوی 28 په مخکینۍ کشف شوي لیکونو کې جوړ شوي. د شته لیکونو ترکیب چک کول د دې ډومین سره تړلي شاوخوا 400 ځانګړي ننوتل او د دوی لپاره پاسورډونه وښودل. دا ممکنه ده چې برید کونکو دا په عامه توګه موجود معلومات د ASELSAN A.Ş برید لپاره کارولي وي.
د ListOfHackedEmails.doc سند سکرین شاټ
په عامه لیکونو کې د 450 څخه ډیر موندل شوي د ننوتلو پاسورډ جوړو لیست سکرین شاټ
د موندل شویو نمونو په منځ کې د سرلیک سره یو سند هم شتون درلود F35-Specifications.docد F-35 جنګي جټ الوتکې ته اشاره وکړه. د بیت سند د F-35 څو اړخیز جنګی بمبار لپاره مشخصات دي چې د الوتکې ځانګړتیاوې او قیمت په ګوته کوي. د دې سند موضوع په مستقیمه توګه د ترکیې لخوا د S-35 سیسټمونو له اخیستلو وروسته د F-400s له ورکولو څخه د امریکا انکار او روسیې ته د F-35 Lightning II په اړه د معلوماتو لیږدولو ګواښ سره تړاو لري.
ټول ترلاسه شوي معلومات په ګوته کوي چې د MuddyWater سایبر بریدونو اصلي هدف په ترکیه کې میشت سازمانونه وو.
Gladiyator_CRK او نیما نیکجو څوک دي؟
له دې مخکې، د مارچ په 2019 کې، ناوړه اسناد وموندل شول چې د وینډوز یو کارونکي لخوا د Gladiyator_CRK مستعار نوم لاندې رامینځته شوي. دې اسنادو د پاورسټیټس شاته دروازه هم توزیع کړې او د ورته نوم سره د C&C سرور سره وصل شوي gladiator[.]tk.
دا ممکن وروسته له هغه ترسره شوی وي کله چې کارونکي نیما نیکجو د مارچ په 14 ، 2019 کې په ټویټر کې پوسټ وکړ ، د مډی واټر سره تړلي کوډ کوډ کوډ کولو هڅه کوي. دې ټویټ ته په نظرونو کې ، څیړونکي وویل چې هغه نشي کولی د دې مالویر لپاره د جوړجاړي شاخصونه شریک کړي ، ځکه چې دا معلومات محرم دي. له بده مرغه، پوسټ لا دمخه حذف شوی، مګر د هغې نښې آنلاین پاتې دي:
نیمه نیکجو د ایراني ویډیو کوربه توب سایټونو dideo.ir او videoi.ir کې د Gladiyator_CRK پروفایل مالکه ده. پدې سایټ کې ، هغه د مختلف پلورونکو او بای پاس سینڈ باکسونو څخه د انټي ویروس وسیلو غیر فعالولو لپاره د PoC کارونې ښیې. نیمه نیکجو د خپل ځان په اړه لیکي چې هغه د شبکې امنیت متخصص دی، او همدارنګه د ریورس انجینر او مالویر شنونکی دی چې د ایران مخابراتي شرکت MTN Irancell لپاره کار کوي.
د ګوګل لټون پایلو کې د خوندي شوي ویډیوګانو سکرین شاټ:
وروسته، د مارچ په 19، 2019، په ټولنیز شبکه ټویټر کې کارونکي نیما نیکجو خپل مستعار نوم د مالویر فایټر ته بدل کړ او اړوند پوسټونه او تبصرې یې هم حذف کړې. په ویډیو کوربه توب dideo.ir کې د Gladiyator_CRK پروفایل هم حذف شوی و ، لکه څنګه چې په یوټیوب کې قضیه وه ، او پروفایل پخپله د تبریزي نوم بدل شو. په هرصورت، نږدې یوه میاشت وروسته (د اپریل 16، 2019)، ټویټر اکاونټ بیا د نیما نیکجو په نوم کارول پیل کړل.
د مطالعې په جریان کې، د ګروپ-IB متخصصینو وموندله چې نیما نیکجو دمخه د سایبر جرمي فعالیتونو په تړاو یادونه شوې وه. د 2014 په اګست کې، د ایران خبرستان بلاګ د هغو کسانو په اړه معلومات خپاره کړل چې د ایران نصر انسټیټیوټ سایبر جرمي ډلې سره تړاو لري. د FireEye یوې څیړنې ویلي چې نصر انسټیټیوټ د APT33 قراردادي و او د 2011 او 2013 ترمنځ د عملیاتو ابابیل په نوم د کمپاین د یوې برخې په توګه د متحده ایاالتو بانکونو باندې د DDoS بریدونو کې هم ښکیل وو.
نو په همدې بلاګ کې د نیما نیکجو- نیکجو یادونه وشوه، چا چې د ایرانیانو د جاسوسۍ لپاره مالویر جوړاوه، او د هغه بریښنالیک آدرس: gladiator_cracker@yahoo[.]com.
د ایران د نصر انسټیټیوټ څخه سایبر مجرمینو ته د منسوب معلوماتو سکرین شاټ:
په روسي ژبه د روښانه شوي متن ژباړه: نیما نیکیو - د جاسوسۍ پراختیا کونکی - بریښنالیک:.
لکه څنګه چې د دې معلوماتو څخه لیدل کیدی شي، د بریښنالیک پته په بریدونو کې کارول شوي پته او کاروونکو Gladiyator_CRK او نیما نیکجو سره تړاو لري.
سربیره پردې، د جون په 15، 2017 مقاله کې ویل شوي چې نیکجو په خپل بیا پیل کې د کاوش امنیتي مرکز ته د حوالې په لیږلو کې یو څه بې پروا و. خوړل
د هغه شرکت په اړه معلومات چیرې چې نیما نیکجو کار کاوه:
د ټویټر کارونکي نیما نیکجو د LinkedIn پروفایل د کاوش امنیتي مرکز په توګه د هغه د دندې لومړی ځای لیست کوي چیرې چې هغه له 2006 څخه تر 2014 پورې کار کړی. د هغه د کار په جریان کې، هغه مختلف مالویرونه مطالعه کړل، او همدارنګه یې د بیرته راګرځولو او ګډوډۍ پورې اړوند کار سره معامله وکړه.
د هغه شرکت په اړه معلومات چې Nima Nikjoo په LinkedIn کې کار کوي:
د خټو اوبه او لوړ ځان ته درناوی
دا په زړه پورې ده چې د MuddyWater ډله په دقت سره د معلوماتو د امنیت متخصصینو ټول راپورونه او پیغامونه د دوی په اړه خپاره شوي څارنه کوي، او حتی په عمدي توګه په لومړي سر کې غلط بیرغونه پریږدي ترڅو څیړونکي بوی پریږدي. د مثال په توګه، د دوی لومړیو بریدونو د DNS میسنجر کارولو په کشفولو سره متخصصین ګمراه کړل، کوم چې عموما د FIN7 ګروپ سره تړاو درلود. په نورو بریدونو کې، دوی چینايي تارونه کوډ ته داخل کړل.
سربیره پردې، ډله د څیړونکو لپاره پیغامونه پریږدي خوښوي. د مثال په توګه، دوی دا نه خوښوي چې د کاسپرسکي لابراتوار د کال لپاره د خپل ګواښ په درجه بندي کې د مډی واټر په دریم ځای کې ځای په ځای کړي. په ورته وخت کې ، یو څوک - احتمالا د مډی واټر ګروپ - یوټیوب ته د استحصال یوه PoC اپلوډ کړی چې د LK انټي ویروس غیر فعالوي. دوی د مقالې لاندې تبصره هم پریښوده.
د کاسپرسکي لابراتوار انټي ویروس غیر فعال کولو په اړه د ویډیو سکرین شاټونه او لاندې تبصره:
دا لاهم ستونزمنه ده چې د "نیما نیکجو" د ښکیلتیا په اړه یو ناڅرګنده نتیجه ترلاسه کړئ. د ګروپ-IB متخصصین دوه نسخې په پام کې نیسي. نیمه نیکجو، په حقیقت کې، کیدای شي د MuddyWater ډلې څخه یو هکر وي، چې د خپل غفلت او په شبکه کې د زیات فعالیت له امله روښانه شوی. دوهم انتخاب دا دی چې هغه په عمدي ډول د ډلې د نورو غړو لخوا په عمدي توګه "افشا" شوی ترڅو له ځان څخه شک لرې کړي. په هر حالت کې، ګروپ-IB خپلې څیړنې ته دوام ورکوي او خامخا به د هغې پایلې راپور کړي.
لکه څنګه چې د ایراني APTs په اړه، د یو لړ لیکونو او لیکونو وروسته، دوی به شاید د جدي "تفصیل" سره مخ شي - هیکران به مجبور شي چې خپل وسایل په جدي توګه بدل کړي، د دوی لاری پاکې کړي او په خپلو لیکو کې ممکن "مل" ومومي. کارپوهانو دا رد نه کړه چې دوی به حتی یو وخت هم واخلي، مګر د لنډې وقفې وروسته، د ایران APT بریدونو بیا دوام وکړ.
سرچینه: www.habr.com