ايراني نواز حڪومت هيڪرز وڏي مصيبت ۾ آهن. سڄي بهار جي دوران، اڻڄاتل ماڻهن ٽيليگرام تي ”خفيه ليک“ شايع ڪيا - ايراني حڪومت سان لاڳاپيل اي پي ٽي گروپن بابت معلومات - آئل ريگ и مٽيءَ جو پاڻي - انهن جا اوزار، متاثرين، ڪنيڪشن. پر هر ڪنهن جي باري ۾ نه. اپريل ۾، گروپ-آئي بي جي ماهرن ترڪي ڪارپوريشن ASELSAN A.Ş جي ميلنگ ايڊريس جي لڪي کي دريافت ڪيو، جيڪو ترڪي جي هٿياربند فوجن لاء تاکتياتي فوجي ريڊيو ۽ اليڪٽرانڪ دفاعي نظام پيدا ڪري ٿو. Anastasia Tikhonova، گروپ-آءِ بي ايڊوانسڊ ٿريٽ ريسرچ ٽيم ليڊر، ۽ Nikita Rostovtsevگروپ-آئي بي تي جونيئر تجزيه نگار، ASELSAN A.Ş تي حملي جو طريقو بيان ڪيو ۽ هڪ ممڪن حصو وٺندڙ مليو مٽيءَ جو پاڻي.
ٽيليگرام ذريعي روشني
ايراني APT گروپن جي ليکي حقيقت سان شروع ٿي ته هڪ خاص ليب Doukhtegan ڇهه APT34 ٽولز جا سورس ڪوڊ (اڪا آئل ريگ ۽ هيلڪس ڪِٽين)، آپريشن ۾ شامل IP پتي ۽ ڊومينز کي ظاهر ڪيو، انهي سان گڏ هيڪرز جي 66 متاثرين جي ڊيٽا، بشمول اتحاد ايئر ويز ۽ امارات نيشنل آئل. ليب Doookhtegan پڻ گروپ جي ماضي جي عملن بابت ڊيٽا ۽ ايران جي اطلاعات ۽ قومي سلامتي واري وزارت جي ملازمن بابت معلومات کي لڪي ڇڏيو جيڪي مبينا طور تي گروپ جي عملن سان لاڳاپيل آهن. OilRig هڪ ايران سان ڳنڍيل APT گروپ آهي جيڪو 2014 کان موجود آهي ۽ حڪومتي، مالي ۽ فوجي تنظيمن سان گڏوگڏ وچ اوڀر ۽ چين ۾ توانائي ۽ ٽيليڪميونيڪيشن ڪمپنين کي نشانو بڻائيندو آهي.
آئل ريگ جي بي نقاب ٿيڻ کان پوءِ ، ليک جاري رهيو - ايران مان هڪ ٻئي پرو اسٽيٽ گروپ جي سرگرمين بابت معلومات ، مڊڊي واٽر ، ڊارڪٽ نيٽ ۽ ٽيليگرام تي ظاهر ٿيو. بهرحال، پهرين ليک جي برعڪس، هن ڀيري اهو سورس ڪوڊ نه هو، جيڪي شايع ڪيا ويا هئا، پر ڊمپ، بشمول سورس ڪوڊ جا اسڪرين شاٽ، ڪنٽرول سرور، ۽ انهي سان گڏ هيڪرز جي ماضي جي متاثرين جا IP پتي. هن ڀيري، گرين ليڪرز هيڪرز MuddyWater بابت ليڪ جي ذميواري ورتي. اهي ڪيترائي ٽيليگرام چينلز ۽ ڊارڪ نيٽ سائيٽن جا مالڪ آهن جتي اهي مڊڊي واٽر آپريشنز سان لاڳاپيل ڊيٽا کي اشتهار ۽ وڪرو ڪندا آهن.
وچ اوڀر کان سائبر جاسوس
مٽيءَ جو پاڻي ھڪڙو گروپ آھي جيڪو وچ اوڀر ۾ 2017 کان سرگرم آھي. مثال طور، گروپ-آئي بي جي ماهرن نوٽ ڪيو، فيبروري کان اپريل 2019 تائين، هيڪرز فشنگ ميلنگ جو هڪ سلسلو ڪيو جنهن جو مقصد حڪومت، تعليمي ادارن، مالي، ٽيليڪميونيڪيشن ۽ دفاعي ڪمپنيون ترڪي، ايران، افغانستان، عراق ۽ آذربائيجان ۾ آهن.
گروپ جا ميمبر پاور شيل جي بنياد تي پنھنجي ترقيءَ جو پٺڀرو استعمال ڪن ٿا، جنھن کي چئبو آھي پاور اسٽيٽس. هي ڪري سگهي ٿو:
- مقامي ۽ ڊومين اڪائونٽن بابت ڊيٽا گڏ ڪرڻ، دستياب فائل سرورز، اندروني ۽ بيروني IP پتي، نالو ۽ او ايس آرڪيٽيڪچر؛
- ريموٽ ڪوڊ تي عمل ڪرڻ؛
- C&C ذريعي فائلون اپلوڊ ۽ ڊائون لوڊ ڪريو؛
- خراب فائلن جي تجزيو ۾ استعمال ٿيل ڊيبگنگ پروگرامن جي موجودگي کي معلوم ڪريو؛
- سسٽم کي بند ڪريو جيڪڏهن خراب فائلن جي تجزيو لاء پروگرام مليا آهن؛
- مقامي ڊرائيو مان فائلون حذف ڪريو؛
- اسڪرين شاٽ وٺو؛
- Microsoft Office مصنوعات ۾ حفاظتي قدمن کي بند ڪريو.
ڪجهه نقطي تي، حملي ڪندڙن هڪ غلطي ڪئي ۽ ReaQta کان محقق حتمي IP پتو حاصل ڪرڻ ۾ ڪامياب ٿي ويا، جيڪو تهران ۾ واقع هو. گروپ پاران حملو ڪيل هدفن سان گڏوگڏ سائبر جاسوسي سان لاڳاپيل ان جا مقصد، ماهرن تجويز ڪيو آهي ته گروپ ايراني حڪومت جي مفادن جي نمائندگي ڪري ٿو.
حملي جا اشاراسي ۽ سي:
- gladiator[.] tk
- 94.23.148 [.] 194
- 192.95.21 [.] 28
- 46.105.84 [.] 146
- 185.162.235 [.] 182
فائلون
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
ترڪي حملي هيٺ
10 اپريل، 2019 تي، گروپ-آئي بي جي ماهرن ترڪي جي ڪمپني ASELSAN A.Ş جي ميلنگ ايڊريس جي ليڪ دريافت ڪئي، ترڪي ۾ فوجي اليڪٽرانڪس جي شعبي ۾ سڀ کان وڏي ڪمپني. ان جي پروڊڪٽس ۾ راڊار ۽ اليڪٽرانڪس، اليڪٽرڪ آپٽڪس، ايويونڪس، بي پائلٽ سسٽم، زمين، بحري، هٿيار ۽ هوائي دفاعي نظام شامل آهن.
POWERSTATS مالويئر جي نئين نمونن مان هڪ جو مطالعو ڪندي، گروپ-آئي بي جي ماهرن اهو طئي ڪيو ته حملي ڪندڙن جو MuddyWater گروپ بائيٽ جي طور تي استعمال ڪيو ويو، Koç Savunma، معلومات ۽ دفاعي ٽيڪنالاجي جي شعبي ۾ حل پيدا ڪندڙ ڪمپني، ۽ Tubitak Bilgem جي وچ ۾ هڪ لائسنس جو معاهدو. هڪ معلوماتي سيڪيورٽي ريسرچ سينٽر ۽ جديد ٽيڪنالاجيون. Koç Savunma لاءِ رابطي وارو شخص طاهر تنر تمس هو، جيڪو Koç Bilgi ve Savunma Teknolojileri A.Ş ۾ پروگرام مئنيجر جي عهدي تي فائز هو. سيپٽمبر 2013 کان ڊسمبر 2018 تائين. بعد ۾ هن ASELSAN A.Ş ۾ ڪم ڪرڻ شروع ڪيو.
نموني ٺاهه سند
صارف جي بدسلوڪي ميڪروز کي چالو ڪرڻ کان پوء، پاور اسٽيٽس بيڪ ڊور متاثر جي ڪمپيوٽر تي ڊائون لوڊ ڪيو ويو آهي.
هن ٺاهه واري دستاويز جي ميٽا ڊيٽا جي مهرباني (MD5: 0638adf8fb4095d60fbef190a759aa9e) محقق ٽن اضافي نمونن کي ڳولڻ جي قابل هئا جن ۾ هڪجهڙائي قدر شامل آهن، جن ۾ ٺاھڻ جي تاريخ ۽ وقت، صارف جو نالو، ۽ ميڪرو جي ھڪڙي فهرست شامل آھن:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
اسڪرين شاٽ جي هڪجهڙائي واري ميٽاداٽا جي مختلف ڊڪي دستاويزن جي
نالي سان دريافت ڪيل دستاويزن مان هڪ ListOfHackedEmails.doc ڊومين سان تعلق رکندڙ 34 اي ميل پتي جي هڪ فهرست تي مشتمل آهي @aselsan.com.tr.
گروپ-آءِ بي جي ماهرن عوامي طور تي موجود ليڪس ۾ اي ميل ايڊريس چيڪ ڪيا ۽ ڏٺائون ته انهن مان 28 اڳ ۾ دريافت ڪيل ليڪس ۾ سمجھوته ڪيا ويا. دستياب ليڪس جي ميلاپ کي چيڪ ڪندي ڏيکاريو 400 منفرد لاگ ان هن ڊومين سان لاڳاپيل ۽ انهن لاءِ پاسورڊ. اهو ممڪن آهي ته حملي آور هن عوامي طور تي دستياب ڊيٽا استعمال ڪيو ASELSAN A.Ş تي حملو ڪرڻ لاءِ.
دستاويز جو اسڪرين شاٽ ListOfHackedEmails.doc
450 کان وڌيڪ معلوم ٿيل لاگ ان-پاسورڊ جوڑوں جي لسٽ جو اسڪرين شاٽ عوامي ليڪس ۾
دريافت ڪيل نمونن ۾ پڻ عنوان سان هڪ دستاويز هو F35-Specifications.docF-35 فائٽر جهاز جو حوالو ڏنو ويو. بيت دستاويز F-35 ملٽي رول فائٽر بمبار لاءِ هڪ وضاحت آهي، جهاز جي خاصيتن ۽ قيمت کي ظاهر ڪري ٿو. هن ٺاهه واري دستاويز جو موضوع سڌو سنئون تعلق آهي آمريڪا پاران F-35s جي فراهمي کان انڪار ڪرڻ کان پوءِ ترڪي طرفان S-400 سسٽم خريد ڪرڻ ۽ روس کي F-35 لائٽنگ II بابت معلومات جي منتقلي جي خطري سان.
حاصل ڪيل سڀني ڊيٽا ظاهر ڪيو ته MuddyWater سائبر حملن جو بنيادي مقصد ترڪي ۾ واقع تنظيمون هيون.
Gladiyator_CRK ۽ نيما نڪجو ڪير آهن؟
ان کان اڳ، مارچ 2019 ۾، بدسلوڪي دستاويز دريافت ڪيا ويا هئا هڪ ونڊوز استعمال ڪندڙ جي نالي سان ٺاهيل Gladiyator_CRK. اهي دستاويز پاور اسٽيٽس جي پوئين دروازي کي پڻ ورهايو ويو آهي ۽ ساڳئي نالي سان هڪ C&C سرور سان ڳنڍيل آهي gladiator[.] tk.
اهو ٿي سگهي ٿو جڏهن صارف نيما نڪجو 14 مارچ 2019 تي Twitter تي پوسٽ ڪئي، MuddyWater سان لاڳاپيل مبهم ڪوڊ ڊيڪوڊ ڪرڻ جي ڪوشش ڪئي. هن ٽوئيٽ جي تبصرن ۾، محقق چيو ته هو هن مالويئر لاء سمجھوتي جي اشارن کي حصيداري نٿو ڪري سگهي، ڇاڪاڻ ته اها معلومات رازداري آهي. بدقسمتي سان، پوسٽ اڳ ۾ ئي ختم ٿي چڪي آهي، پر ان جا نشان آن لائن رهندا آهن:
نيما نڪجو ايراني وڊيو هوسٽنگ سائيٽن dideo.ir ۽ videoi.ir تي Gladiyator_CRK پروفائل جي مالڪ آهي. هن سائيٽ تي، هو مختلف وينڊرز ۽ بائي پاس سينڊ باڪسز کان اينٽي وائرس ٽولز کي غير فعال ڪرڻ لاءِ PoC استحصال جو مظاهرو ڪري ٿو. نيما نڪجو پنهنجي باري ۾ لکي ٿي ته هو هڪ نيٽ ورڪ سيڪيورٽي اسپيشلسٽ آهي، انهي سان گڏ هڪ ريورس انجنيئر ۽ مالويئر تجزيه نگار آهي، جيڪو هڪ ايراني ٽيليڪميونيڪيشن ڪمپني MTN Irancell لاءِ ڪم ڪري ٿو.
گوگل سرچ نتيجن ۾ محفوظ ڪيل وڊيوز جو اسڪرين شاٽ:
بعد ۾ 19 مارچ 2019 تي سوشل نيٽ ورڪ Twitter تي صارف Nima Nikjoo پنهنجو نالو مٽائي Malware Fighter رکيو ۽ ان سان لاڳاپيل پوسٽون ۽ تبصرا به ڊليٽ ڪري ڇڏيا. وڊيو ميزباني dideo.ir تي Gladiyator_CRK جو پروفائل پڻ ڊهي ويو، جيئن يوٽيوب تي ڪيس هو، ۽ پروفائل جو نالو تبديل ڪيو ويو N تبريزي. بهرحال، لڳ ڀڳ هڪ مهيني بعد (16 اپريل 2019)، ٽوئيٽر اڪائونٽ ٻيهر نيما نڪجو جو نالو استعمال ڪرڻ شروع ڪيو.
مطالعي دوران، گروپ-آئي بي جي ماهرن دريافت ڪيو ته نيما نڪجو اڳ ۾ ئي سائبر ڪرمنل سرگرمين جي حوالي سان ذڪر ڪيو ويو آهي. آگسٽ 2014 ۾، ايران خبرستان بلاگ سائبر ڪرمنل گروپ ايراني نصر انسٽيٽيوٽ سان لاڳاپيل ماڻهن بابت معلومات شايع ڪئي. هڪ فائر اي جي تحقيق ۾ چيو ويو آهي ته نصر انسٽيٽيوٽ APT33 جو ٺيڪيدار هو ۽ 2011 ۽ 2013 جي وچ ۾ آمريڪي بئنڪن تي DDoS حملن ۾ پڻ ملوث هو آپريشن ابابيل نالي مهم جي حصي طور.
پوءِ ساڳئي بلاگ ۾، نيما نڪجو-نِڪجو جو ذڪر ڪيو ويو، جيڪو ايرانين جي جاسوسي ڪرڻ لاءِ مالويئر ٺاهي رهيو هو، ۽ سندس اي ميل پتو: gladiator_cracker@yahoo[.]com.
ايراني نصر انسٽيٽيوٽ کان سائبر ڪرمنلز ڏانهن منسوب ڊيٽا جو اسڪرين شاٽ:
نمايان ٿيل متن جو روسي ۾ ترجمو: Nima Nikio - اسپائي ويئر ڊولپر - اي ميل:.
جيئن ته هن معلومات مان ڏسي سگهجي ٿو، اي ميل پتو حملن ۾ استعمال ٿيل ايڊريس سان لاڳاپيل آهي ۽ استعمال ڪندڙ Gladiyator_CRK ۽ Nima Nikjoo.
اضافي طور تي، 15 جون، 2017 جي آرٽيڪل ۾ چيو ويو آهي ته نڪجو پنهنجي شروع تي ڪاوش سيڪيورٽي سينٽر جي حوالي سان پوسٽ ڪرڻ ۾ ڪجهه لاپرواهه هو. کائو ڪاوش سيڪيورٽي سينٽر کي ايراني رياست پاران حڪومت نواز هيڪرز جي مالي مدد ڪرڻ لاءِ مدد ملي ٿي.
ڪمپني بابت ڄاڻ جتي نيما نڪجو ڪم ڪيو:
Twitter استعمال ڪندڙ Nima Nikjoo جي LinkedIn پروفائيل ۾ سندس ملازمت جي پهرين جاءِ ڪاوش سيڪيورٽي سينٽر جي طور تي ڏنل آهي، جتي هن 2006 کان 2014 تائين ڪم ڪيو. هن جي ڪم جي دوران، هن مختلف مالويئر جو اڀياس ڪيو، ۽ پڻ ريورس ۽ اوچتو ڪم سان لاڳاپيل ڪم ڪيو.
ڪمپني بابت ڄاڻ Nima Nikjoo LinkedIn تي ڪم ڪيو:
مٽيءَ جو پاڻي ۽ اعليٰ خود اعتمادي
اهو دلچسپ آهي ته MuddyWater گروپ انهن بابت شايع ٿيل معلومات سيڪيورٽي ماهرن جي سڀني رپورٽن ۽ پيغامن کي احتياط سان مانيٽر ڪري ٿو، ۽ تحقيق ڪندڙن کي خوشبو کان پري اڇلڻ لاءِ پهريان ئي ڄاڻي واڻي ڪوڙا جھنڊا ڇڏيا آهن. مثال طور، انهن جي پهرين حملن ماهرن کي گمراهه ڪيو DNS ميسينجر جي استعمال کي ڳولڻ سان، جيڪو عام طور تي FIN7 گروپ سان لاڳاپيل هو. ٻين حملن ۾، انهن ڪوڊ ۾ چيني تار داخل ڪيا.
ان کان سواء، گروپ محققن لاء پيغام ڇڏڻ سان پيار ڪندو آهي. مثال طور، انهن کي اهو پسند نه ڪيو ويو ته Kaspersky Lab سال جي خطري جي درجه بندي ۾ 3rd جاء تي MuddyWater رکي. ساڳئي وقت، ڪو ماڻهو - غالبا MuddyWater گروپ - يوٽيوب تي هڪ استحصال جو هڪ PoC اپ لوڊ ڪيو جيڪو LK اينٽي وائرس کي غير فعال ڪري ٿو. انهن مضمون هيٺ هڪ تبصرو پڻ ڇڏيو.
ڪيسپرسڪي ليب اينٽي وائرس کي غير فعال ڪرڻ تي وڊيو جا اسڪرين شاٽ ۽ هيٺ ڏنل تبصرو:
"نيما نڪجو" جي شموليت بابت هڪ غير واضح نتيجو ٺاهڻ اڃا به ڏکيو آهي. گروپ-آئي بي جا ماهر ٻن نسخن تي غور ڪري رهيا آهن. نيما نڪجو، حقيقت ۾، MuddyWater گروپ مان هڪ هيڪر ٿي سگهي ٿو، جيڪو پنهنجي لاپرواهي ۽ نيٽ ورڪ تي وڌندڙ سرگرمي جي سبب سامهون آيو. ٻيو اختيار اهو آهي ته هن کي عمدي طور تي گروپ جي ٻين ميمبرن طرفان "بي نقاب" ڪيو ويو آهي ته جيئن پاڻ کان شڪ کي هٽايو وڃي. ڪنهن به صورت ۾، گروپ-آئي بي پنهنجي تحقيق جاري رکي ٿو ۽ ضرور ان جي نتيجن جي رپورٽ ڪندو.
جيئن ته ايراني APTs لاءِ، ليڪ ۽ لڪ جي هڪ سلسلي کان پوءِ، انهن کي شايد هڪ سنگين ”ڊبريفنگ“ کي منهن ڏيڻو پوندو - هيڪرز کي مجبور ڪيو ويندو ته هو سنجيدگيءَ سان پنهنجا اوزار تبديل ڪن، انهن جي ٽريڪ کي صاف ڪن ۽ انهن جي صفن ۾ ممڪن ”مول“ ڳولين. ماهرن ان ڳالهه کي رد نه ڪيو ته اهي به ٽائيم آئوٽ ڪندا، پر ٿوري وقفي کانپوءِ ايراني اي پي ٽي حملا ٻيهر جاري رکيا.
جو ذريعو: www.habr.com