Os hackers pró-governo iranianos estão em grandes apuros. Ao longo da primavera, pessoas desconhecidas publicaram “vazamentos secretos” no Telegram – informações sobre grupos APT associados ao governo iraniano – Plataforma de petróleo и Água barrenta – suas ferramentas, vítimas, conexões. Mas não sobre todos. Em Abril, especialistas do Grupo-IB descobriram uma fuga de endereços postais da empresa turca ASELSAN A.Ş, que produz rádios militares tácticos e sistemas de defesa electrónica para as forças armadas turcas. Anastasia Tikhonova, líder da equipe de pesquisa avançada de ameaças do Grupo-IB, e Nikita Rostovtseva, analista júnior do Grupo-IB, descreveu o curso do ataque à ASELSAN A.Ş e encontrou um possível participante Água barrenta.
Iluminação via Telegram
O vazamento de grupos APT iranianos começou com o fato de um certo Lab Doukhtegan os códigos-fonte de seis ferramentas APT34 (também conhecidas como OilRig e HelixKitten), revelaram os endereços IP e domínios envolvidos nas operações, bem como dados de 66 vítimas de hackers, incluindo Etihad Airways e Emirates National Oil. O Lab Doookhtegan também vazou dados sobre as operações anteriores do grupo e informações sobre funcionários do Ministério da Informação e Segurança Nacional iraniano que estão supostamente associados às operações do grupo. OilRig é um grupo APT ligado ao Irão que existe desde cerca de 2014 e tem como alvo organizações governamentais, financeiras e militares, bem como empresas de energia e telecomunicações no Médio Oriente e na China.
Depois que a OilRig foi exposta, os vazamentos continuaram - informações sobre as atividades de outro grupo pró-Estado do Irã, MuddyWater, apareceram na darknet e no Telegram. No entanto, ao contrário do primeiro vazamento, desta vez não foram os códigos-fonte que foram publicados, mas sim os dumps, incluindo capturas de tela dos códigos-fonte, servidores de controle, bem como os endereços IP de vítimas anteriores de hackers. Desta vez, os hackers do Green Leakers assumiram a responsabilidade pelo vazamento sobre MuddyWater. Eles possuem vários canais do Telegram e sites darknet onde anunciam e vendem dados relacionados às operações da MuddyWater.
Espiões cibernéticos do Oriente Médio
Água barrenta é um grupo que atua desde 2017 no Oriente Médio. Por exemplo, como observam os especialistas do Grupo-IB, de Fevereiro a Abril de 2019, os hackers realizaram uma série de correspondências de phishing destinadas a governos, organizações educativas, empresas financeiras, de telecomunicações e de defesa na Turquia, Irão, Afeganistão, Iraque e Azerbaijão.
Os membros do grupo usam um backdoor de seu próprio desenvolvimento baseado em PowerShell, que é chamado ESTATÍSTICAS DE POTÊNCIA. Ele pode:
- coletar dados sobre contas locais e de domínio, servidores de arquivos disponíveis, endereços IP internos e externos, nome e arquitetura do sistema operacional;
- realizar execução remota de código;
- fazer upload e download de arquivos via C&C;
- detectar a presença de programas de depuração utilizados na análise de arquivos maliciosos;
- desligue o sistema se forem encontrados programas para análise de arquivos maliciosos;
- exclua arquivos de unidades locais;
- faça capturas de tela;
- desabilitar medidas de segurança em produtos Microsoft Office.
Em algum momento, os invasores cometeram um erro e os pesquisadores do ReaQta conseguiram obter o endereço IP final, localizado em Teerã. Dados os alvos atacados pelo grupo, bem como os seus objetivos relacionados com a espionagem cibernética, os especialistas sugeriram que o grupo representa os interesses do governo iraniano.
Indicadores de ataqueC&C:
- gladiador[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Arquivos:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Turquia sob ataque
Em 10 de abril de 2019, especialistas do Grupo-IB descobriram um vazamento de endereços postais da empresa turca ASELSAN A.Ş, a maior empresa na área de eletrônica militar na Turquia. Seus produtos incluem radar e eletrônicos, eletroópticos, aviônicos, sistemas não tripulados, sistemas terrestres, navais, de armas e de defesa aérea.
Estudando uma das novas amostras do malware POWERSTATS, os especialistas do Grupo-IB determinaram que o grupo de invasores MuddyWater usou como isca um documento de acordo de licença entre Koç Savunma, empresa produtora de soluções na área de tecnologias de informação e defesa, e Tubitak Bilgem , um centro de pesquisa em segurança da informação e tecnologias avançadas. A pessoa de contato de Koç Savunma foi Tahir Taner Tımış, que ocupou o cargo de Gerente de Programas na Koç Bilgi ve Savunma Teknolojileri A.Ş. de setembro de 2013 a dezembro de 2018. Mais tarde começou a trabalhar na ASELSAN A.Ş.
Exemplo de documento de isca
Depois que o usuário ativa macros maliciosas, o backdoor POWERSTATS é baixado para o computador da vítima.
Graças aos metadados deste documento chamariz (MD5: 0638adf8fb4095d60fbef190a759aa9e) os pesquisadores conseguiram encontrar três amostras adicionais contendo valores idênticos, incluindo a data e hora de criação, nome de usuário e uma lista de macros contidas:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Especificações.doc (5c6148619abb10bb3789dcfb32f759a6)
Captura de tela de metadados idênticos de vários documentos falsos
Um dos documentos descobertos com o nome ListOfHackedEmails.doc contém uma lista de 34 endereços de e-mail pertencentes ao domínio @aselsan.com.tr.
Os especialistas do Grupo-IB verificaram endereços de e-mail em vazamentos disponíveis publicamente e descobriram que 28 deles foram comprometidos em vazamentos descobertos anteriormente. A verificação do conjunto de vazamentos disponíveis mostrou cerca de 400 logins exclusivos associados a este domínio e senhas para eles. É possível que os invasores tenham usado esses dados disponíveis publicamente para atacar a ASELSAN A.Ş.
Captura de tela do documento ListOfHackedEmails.doc
Captura de tela de uma lista de mais de 450 pares de senha de login detectados em vazamentos públicos
Entre as amostras descobertas havia também um documento com o título F35-Especificações.doc, referindo-se ao caça a jato F-35. O documento isca é uma especificação do caça-bombardeiro multifuncional F-35, indicando as características e o preço da aeronave. O tema deste documento chamariz está diretamente relacionado à recusa dos EUA em fornecer F-35 após a compra dos sistemas S-400 pela Turquia e à ameaça de transferência de informações sobre o F-35 Lightning II para a Rússia.
Todos os dados recebidos indicaram que os principais alvos dos ataques cibernéticos da MuddyWater foram organizações localizadas na Turquia.
Quem são Gladiyator_CRK e Nima Nikjoo?
Anteriormente, em março de 2019, foram descobertos documentos maliciosos criados por um usuário do Windows sob o apelido de Gladiyator_CRK. Esses documentos também distribuíram o backdoor POWERSTATS e conectaram a um servidor C&C com nome semelhante gladiador[.]tk.
Isso pode ter sido feito depois que o usuário Nima Nikjoo postou no Twitter em 14 de março de 2019, tentando decodificar o código ofuscado associado ao MuddyWater. Nos comentários a este tweet, o pesquisador disse que não poderia compartilhar indicadores de comprometimento deste malware, pois esta informação é confidencial. Infelizmente, a postagem já foi excluída, mas vestígios dela permanecem online:
Nima Nikjoo é proprietária do perfil Gladiyator_CRK nos sites de hospedagem de vídeos iranianos dideo.ir e videoi.ir. Neste site, ele demonstra explorações de PoC para desabilitar ferramentas antivírus de vários fornecedores e contornar sandboxes. Nima Nikjoo escreve sobre si mesmo que é especialista em segurança de rede, bem como engenheiro reverso e analista de malware que trabalha para a MTN Irancell, uma empresa de telecomunicações iraniana.
Captura de tela dos vídeos salvos nos resultados de pesquisa do Google:
Posteriormente, em 19 de março de 2019, o usuário Nima Nikjoo da rede social Twitter mudou seu apelido para Malware Fighter, e também excluiu postagens e comentários relacionados. O perfil de Gladiyator_CRK na hospedagem de vídeos dideo.ir também foi excluído, assim como no YouTube, e o próprio perfil foi renomeado para N Tabrizi. Porém, quase um mês depois (16 de abril de 2019), a conta do Twitter voltou a usar o nome Nima Nikjoo.
Durante o estudo, os especialistas do Grupo-IB descobriram que Nima Nikjoo já havia sido mencionado em conexão com atividades cibercriminosas. Em agosto de 2014, o blog Iran Khabarestan publicou informações sobre indivíduos associados ao grupo cibercriminoso Iranian Nasr Institute. Uma investigação da FireEye afirmou que o Nasr Institute era contratado do APT33 e também esteve envolvido em ataques DDoS a bancos dos EUA entre 2011 e 2013 como parte de uma campanha chamada Operação Ababil.
Assim, no mesmo blog, foi mencionado Nima Nikju-Nikjoo, que estava desenvolvendo malware para espionar iranianos, e seu endereço de e-mail: gladiyator_cracker@yahoo[.]com.
Captura de tela de dados atribuídos a cibercriminosos do Instituto Nasr iraniano:
Tradução do texto destacado para o russo: Nima Nikio - Desenvolvedor de Spyware - E-mail:.
Como se pode verificar nesta informação, o endereço de email está associado ao endereço utilizado nos ataques e aos utilizadores Gladiyator_CRK e Nima Nikjoo.
Além disso, o artigo de 15 de junho de 2017 afirmou que Nikjoo foi um tanto descuidado ao postar referências ao Kavosh Security Center em seu currículo. Comer que o Centro de Segurança Kavosh é apoiado pelo Estado iraniano para financiar hackers pró-governo.
Informações sobre a empresa onde Nima Nikjoo trabalhou:
O perfil do usuário do Twitter Nima Nikjoo no LinkedIn lista seu primeiro local de trabalho como Kavosh Security Center, onde trabalhou de 2006 a 2014. Durante seu trabalho, ele estudou vários malwares e também lidou com trabalhos relacionados a reversão e ofuscação.
Informações sobre a empresa para a qual Nima Nikjoo trabalhou no LinkedIn:
MuddyWater e alta autoestima
É curioso que o grupo MuddyWater monitorize cuidadosamente todos os relatórios e mensagens de especialistas em segurança da informação publicados sobre eles, e até tenha deixado deliberadamente bandeiras falsas no início, a fim de despistar os investigadores. Por exemplo, os seus primeiros ataques enganaram os especialistas ao detectar o uso do DNS Messenger, que era comumente associado ao grupo FIN7. Em outros ataques, inseriram strings chinesas no código.
Além disso, o grupo adora deixar recados para os pesquisadores. Por exemplo, eles não gostaram do fato de a Kaspersky Lab ter colocado a MuddyWater em 3º lugar na classificação de ameaças do ano. No mesmo momento, alguém - provavelmente o grupo MuddyWater - carregou no YouTube um PoC de uma exploração que desativa o antivírus LK. Eles também deixaram um comentário no artigo.
Capturas de tela do vídeo sobre como desativar o antivírus da Kaspersky Lab e o comentário abaixo:
Ainda é difícil tirar uma conclusão inequívoca sobre o envolvimento de “Nima Nikjoo”. Os especialistas do Grupo-IB estão considerando duas versões. Nima Nikjoo, de fato, pode ser um hacker do grupo MuddyWater, que veio à tona devido à sua negligência e ao aumento da atividade na rede. A segunda opção é que ele tenha sido deliberadamente “exposto” por outros membros do grupo para desviar as suspeitas deles mesmos. Em qualquer caso, o Grupo-IB continua a sua investigação e reportará definitivamente os seus resultados.
Quanto aos APTs iranianos, após uma série de vazamentos e vazamentos, eles provavelmente enfrentarão um sério “interrogatório” - os hackers serão forçados a mudar seriamente suas ferramentas, limpar seus rastros e encontrar possíveis “toupeiras” em suas fileiras. Os especialistas não descartaram a possibilidade de um intervalo, mas após um breve intervalo, os ataques iranianos ao APT continuaram novamente.
Fonte: habr.com