ඉරාන රජයට හිතවත් හැකර්වරු ලොකු අමාරුවක වැටිලා. වසන්තය පුරාම, නාඳුනන පුද්ගලයින් ටෙලිග්රාම් හි “රහස් කාන්දුවීම්” ප්රකාශයට පත් කළේය - ඉරාන රජය හා සම්බන්ධ APT කණ්ඩායම් පිළිබඳ තොරතුරු - ඔයිල් රිග් и මඩ වතුර - ඔවුන්ගේ මෙවලම්, වින්දිතයින්, සම්බන්ධතා. නමුත් හැමෝම ගැන නොවේ. අප්රේල් මාසයේදී, Group-IB විශේෂඥයින් විසින් තුර්කි සන්නද්ධ හමුදාවන් සඳහා උපායශීලී මිලිටරි ගුවන්විදුලි සහ ඉලෙක්ට්රොනික ආරක්ෂක පද්ධති නිෂ්පාදනය කරන තුර්කි සංස්ථාවේ ASELSAN A.Ş හි තැපැල් ලිපින කාන්දුවක් සොයා ගන්නා ලදී. Anastasia Tikhonova, Group-IB උසස් තර්ජන පර්යේෂණ කණ්ඩායම් නායකයා, සහ Nikita Rostovtsev, Group-IB හි කනිෂ්ඨ විශ්ලේෂක, ASELSAN A.Ş වෙත ප්රහාරයේ ගමන් මග විස්තර කළ අතර හැකි සහභාගිවන්නෙකු සොයා ගන්නා ලදී මඩ වතුර.
Telegram හරහා ආලෝකකරණය
ඉරාන APT කණ්ඩායම් කාන්දු වීම ආරම්භ වූයේ එක්තරා විද්යාගාරයක් ඩොක්ටෙගන් සමඟ ය
OilRig නිරාවරණය වීමෙන් පසුව, කාන්දුවීම් දිගටම පැවතුනි - ඉරානයේ තවත් රාජ්ය ගැති කණ්ඩායමක් වන MuddyWater හි ක්රියාකාරකම් පිළිබඳ තොරතුරු අඳුරු ජාලයේ සහ ටෙලිග්රාම් හි පළ විය. කෙසේ වෙතත්, පළමු කාන්දුව මෙන් නොව, මෙවර එය ප්රකාශයට පත් කරන ලද්දේ මූලාශ්ර කේත නොව, ප්රභව කේතවල තිරපිටපත්, පාලක සේවාදායකයන් මෙන්ම හැකර්වරුන්ගේ අතීත ගොදුරු වූවන්ගේ IP ලිපින ඇතුළු ඩම්ප් ය. මේ වතාවේ, MuddyWater පිළිබඳ කාන්දුවේ වගකීම Green Leakers හැකර්වරු භාර ගත්හ. ඔවුන් MuddyWater මෙහෙයුම්වලට අදාළ දත්ත ප්රචාරණය කරන සහ අලෙවි කරන Telegram නාලිකා සහ Darknet අඩවි කිහිපයක් ඔවුන් සතුය.
මැද පෙරදිග සිට සයිබර් ඔත්තුකරුවන්
මඩ වතුර 2017 සිට මැදපෙරදිග ක්රියාකාරීව සිටින කණ්ඩායමකි. උදාහරණයක් ලෙස, Group-IB විශේෂඥයින් සටහන් කරන පරිදි, 2019 පෙබරවාරි සිට අප්රේල් දක්වා, හැකර්වරු තුර්කිය, ඉරානය, ඇෆ්ගනිස්ථානය, ඉරාකය සහ අසර්බයිජානයේ රජය, අධ්යාපනික සංවිධාන, මූල්ය, විදුලි සංදේශ සහ ආරක්ෂක සමාගම් ඉලක්ක කරගත් තතුබෑම් ලිපි මාලාවක් සිදු කළහ.
කණ්ඩායම් සාමාජිකයින් PowerShell මත පදනම් වූ ඔවුන්ගේම සංවර්ධනයේ පසුබිමක් භාවිතා කරයි, එය හැඳින්වේ POWERSTATS. ඔහුට පුළුවන්:
- දේශීය සහ වසම් ගිණුම්, පවතින ගොනු සේවාදායකයන්, අභ්යන්තර සහ බාහිර IP ලිපින, නම සහ OS ගෘහ නිර්මාණ ශිල්පය පිළිබඳ දත්ත රැස් කිරීම;
- දුරස්ථ කේත ක්රියාත්මක කිරීම සිදු කරන්න;
- C&C හරහා ගොනු උඩුගත කිරීම සහ බාගැනීම;
- අනිෂ්ට ලිපිගොනු විශ්ලේෂණය කිරීමේදී භාවිතා කරන දෝශ නිරාකරණ වැඩසටහන් තිබීම හඳුනා ගන්න;
- අනිෂ්ට ගොනු විශ්ලේෂණය සඳහා වැඩසටහන් සොයාගතහොත් පද්ධතිය වසා දමන්න;
- දේශීය ධාවකයන්ගෙන් ගොනු මකා දමන්න;
- තිරපිටපත් ගන්න;
- මයික්රොසොෆ්ට් ඔෆිස් නිෂ්පාදනවල ආරක්ෂක පියවර අක්රීය කරන්න.
යම් අවස්ථාවක දී, ප්රහාරකයින් අතින් වරදක් සිදු වූ අතර, ReaQta හි පර්යේෂකයන් ටෙහෙරානයේ පිහිටා ඇති අවසාන IP ලිපිනය ලබා ගැනීමට සමත් විය. කණ්ඩායම විසින් ප්රහාර එල්ල කරන ලද ඉලක්ක මෙන්ම සයිබර් ඔත්තු බැලීම හා සම්බන්ධ එහි ඉලක්ක අනුව, විශේෂඥයින් යෝජනා කර ඇත්තේ මෙම කණ්ඩායම ඉරාන රජයේ අවශ්යතා නියෝජනය කරන බවයි.
ප්රහාර දර්ශකC&C:
- ග්ලැඩියේටර්[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
ලිපිගොනු:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
තුර්කිය ප්රහාරයට ලක්ව ඇත
10 අප්රේල් 2019 වන දින, කණ්ඩායම්-IB විශේෂඥයින් විසින් තුර්කියේ මිලිටරි ඉලෙක්ට්රොනික ක්ෂේත්රයේ විශාලතම සමාගම වන තුර්කි සමාගමක් වන ASELSAN A.Ş හි තැපැල් ලිපින කාන්දුවක් සොයා ගන්නා ලදී. එහි නිෂ්පාදන අතර රේඩාර් සහ ඉලෙක්ට්රොනික උපකරණ, විද්යුත් දෘෂ්ටි විද්යාව, ගුවන් යානා, මිනිසුන් රහිත පද්ධති, ගොඩබිම්, නාවික, අවි සහ ගුවන් ආරක්ෂක පද්ධති ඇතුළත් වේ.
POWERSTATS අනිෂ්ට මෘදුකාංගයේ නව සාම්පලයක් අධ්යයනය කරමින්, Group-IB විශේෂඥයින් තීරණය කළේ, MuddyWater ප්රහාරකයින් කණ්ඩායම, Koç Savunma, තොරතුරු සහ ආරක්ෂක තාක්ෂණ ක්ෂේත්රයේ විසඳුම් නිෂ්පාදනය කරන සමාගමක් සහ Tubitak Bilgem අතර බලපත්ර ගිවිසුමක් ඇමක් ලෙස භාවිතා කළ බවයි. , තොරතුරු ආරක්ෂණ පර්යේෂණ මධ්යස්ථානයක් සහ උසස් තාක්ෂණයන්. Koç Savunma සඳහා සම්බන්ධතා පුද්ගලයා වූයේ Koç Bilgi ve Savunma Teknolojileri A.Ş හි වැඩසටහන් කළමනාකරු තනතුර දැරූ Tahir Taner Tımış ය. සැප්තැම්බර් 2013 සිට දෙසැම්බර් 2018 දක්වා. පසුව ඔහු ASELSAN A.Ş හි වැඩ කිරීමට පටන් ගත්තේය.
නියැදි රැවටීමේ ලේඛනය
පරිශීලකයා අනිෂ්ට මැක්රෝස් සක්රිය කිරීමෙන් පසු, POWERSTATS පසුපස දොර වින්දිතයාගේ පරිගණකයට බාගනු ලැබේ.
මෙම decoy ලේඛනයේ පාර-දත්ත වලට ස්තූතියි (MD5: 0638adf8fb4095d60fbef190a759aa9e) නිර්මාණය කරන දිනය සහ වේලාව, පරිශීලක නාමය සහ අඩංගු මැක්රෝ ලැයිස්තුවක් ඇතුළුව සමාන අගයන් අඩංගු අතිරේක සාම්පල තුනක් සොයා ගැනීමට පර්යේෂකයන්ට හැකි විය:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
විවිධ විකෘති ලේඛනවල සමාන පාරදත්තවල තිර රුව
නම සහිත සොයාගත් ලේඛනවලින් එකක් ListOfHackedEmails.doc වසමට අයත් ඊමේල් ලිපින 34ක ලැයිස්තුවක් අඩංගු වේ @aselsan.com.tr.
Group-IB විශේෂඥයින් ප්රසිද්ධියේ ලබා ගත හැකි කාන්දුවීම් වල විද්යුත් තැපැල් ලිපින පරීක්ෂා කළ අතර ඒවායින් 28ක් කලින් සොයාගත් කාන්දුවීම් වලදී සම්මුතියකට ලක්ව ඇති බව සොයා ගත්හ. පවතින කාන්දුවීම් මිශ්රණය පරීක්ෂා කිරීමෙන් මෙම වසම හා සම්බන්ධ අනන්ය පිවිසුම් 400ක් පමණ සහ ඒවා සඳහා මුරපද පෙන්නුම් කරන ලදී. ASELSAN A.Şට පහර දීමට ප්රහාරකයන් මෙම ප්රසිද්ධියේ පවතින දත්ත භාවිතා කළ හැකිය.
ListOfHackedEmails.doc ලේඛනයේ තිර රුවක්
පොදු කාන්දුවීම් වලදී අනාවරණය කරගත් පිවිසුම්-මුරපද යුගල 450කට වඩා වැඩි ලැයිස්තුවක තිර රුවක්
සොයාගත් සාම්පල අතර මාතෘකාව සහිත ලේඛනයක් ද විය F35-Specifications.doc, F-35 ප්රහාරක ජෙට් යානය ගැන සඳහන් කරමින්. ඇමක් ලේඛනය යනු F-35 බහුකාර්ය ප්රහාරක බෝම්බකරු සඳහා වන පිරිවිතරයක් වන අතර එය ගුවන් යානයේ ලක්ෂණ සහ මිල පෙන්නුම් කරයි. මෙම decoy ලේඛනයේ මාතෘකාව තුර්කිය S-35 පද්ධති මිලදී ගැනීමෙන් පසු F-400 සැපයීම ප්රතික්ෂේප කිරීම සහ F-35 Lightning II පිළිබඳ තොරතුරු රුසියාවට මාරු කිරීමේ තර්ජනය සමඟ කෙලින්ම සම්බන්ධ වේ.
ලැබුණු සියලුම දත්ත වලින් පෙන්නුම් කළේ MuddyWater සයිබර් ප්රහාරවල ප්රධාන ඉලක්ක තුර්කියේ පිහිටි සංවිධාන බවයි.
Gladiyator_CRK සහ Nima Nikjoo කවුද?
මීට පෙර, 2019 මාර්තු මාසයේදී, Gladiyator_CRK යන අන්වර්ථ නාමය යටතේ එක් වින්ඩෝස් පරිශීලකයෙකු විසින් නිර්මාණය කරන ලද අනිෂ්ට ලේඛන සොයා ගන්නා ලදී. මෙම ලේඛන POWERSTATS පිටුපස දොර බෙදා හැර සමාන නමක් ඇති C&C සේවාදායකයකට සම්බන්ධ කර ඇත ග්ලැඩියේටර්[.]tk.
Nima Nikjoo පරිශීලකයා 14 මාර්තු 2019 වන දින Twitter හි පළ කිරීමෙන් පසුව MuddyWater හා සම්බන්ධ අපැහැදිලි කේතය විකේතනය කිරීමට උත්සාහ කිරීමෙන් පසුව මෙය සිදු කර ඇත. මෙම ට්වීට් වෙත අදහස් දැක්වීමේදී, පර්යේෂකයා කියා සිටියේ මෙම තොරතුරු රහසිගත බැවින් මෙම අනිෂ්ට මෘදුකාංගය සඳහා සම්මුතියේ දර්ශක බෙදා ගත නොහැකි බවයි. අවාසනාවන්ත ලෙස, පළ කිරීම දැනටමත් මකා ඇත, නමුත් එහි හෝඩුවාවන් සබැඳිව පවතී:
Nima Nikjoo ඉරාන වීඩියෝ සත්කාරක අඩවි dideo.ir සහ videoi.ir හි Gladiyator_CRK පැතිකඩෙහි හිමිකරු වේ. මෙම වෙබ් අඩවියේ, ඔහු විවිධ වෙළෙන්දන්ගෙන් ප්රති-වයිරස මෙවලම් අක්රිය කිරීමට සහ වැලි පෙට්ටි මඟ හැරීමට PoC සූරාකෑම් පෙන්වයි. Nima Nikjoo තමා ගැන ලියන්නේ ඔහු ජාල ආරක්ෂණ විශේෂඥයෙකු මෙන්ම ඉරාන විදුලි සංදේශ සමාගමක් වන MTN Irancell හි සේවය කරන ප්රතිලෝම ඉංජිනේරු සහ අනිෂ්ට මෘදුකාංග විශ්ලේෂකයෙකු බවයි.
ගූගල් සෙවුම් ප්රතිඵලවල සුරකින ලද වීඩියෝවල තිර රුවක්:
පසුව, 19 මාර්තු 2019 වන දින, Twitter සමාජ ජාලයේ Nima Nikjoo පරිශීලකයා ඔහුගේ අන්වර්ථ නාමය Malware Fighter ලෙස වෙනස් කළ අතර, අදාළ පළ කිරීම් සහ අදහස් ද මකා දමන ලදී. YouTube හි සිදු වූ පරිදි, වීඩියෝ සත්කාරක dideo.ir හි Gladiyator_CRK හි පැතිකඩ ද මකා දමා ඇති අතර, එම පැතිකඩම N Tabrizi ලෙස නම් කරන ලදී. කෙසේ වෙතත්, මාසයකට පමණ පසු (අප්රේල් 16, 2019), Twitter ගිණුම නැවතත් Nima Nikjoo යන නම භාවිතා කිරීමට පටන් ගත්තේය.
අධ්යයනය අතරතුර, සමූහ-IB විශේෂඥයින් විසින් සයිබර් අපරාධ ක්රියාකාරකම් සම්බන්ධයෙන් Nima Nikjoo දැනටමත් සඳහන් කර ඇති බව සොයා ගන්නා ලදී. 2014 අගෝස්තු මාසයේදී ඉරාන කබරේස්තාන් බ්ලොග් අඩවිය ඉරාන නස්ර් ආයතනයේ සයිබර් අපරාධ කණ්ඩායමට සම්බන්ධ පුද්ගලයන් පිළිබඳ තොරතුරු ප්රකාශයට පත් කළේය. එක් FireEye පරීක්ෂණයකින් ප්රකාශ වූයේ Nasr ආයතනය APT33 සඳහා කොන්ත්රාත්කරුවෙකු වූ අතර 2011 සහ 2013 අතර Operation Ababil නම් ව්යාපාරයේ කොටසක් ලෙස එක්සත් ජනපද බැංකුවලට DDoS ප්රහාරවලට සම්බන්ධ වූ බවයි.
එබැවින් එම බ්ලොගයේම, ඉරාන ජාතිකයන් පිළිබඳ ඔත්තු බැලීම සඳහා අනිෂ්ට මෘදුකාංග සංවර්ධනය කරමින් සිටි Nima Nikju-Nikjoo සහ ඔහුගේ විද්යුත් තැපැල් ලිපිනය: gladiyator_cracker@yahoo[.]com ගැන සඳහන් කර ඇත.
ඉරාන නාසර් ආයතනයෙන් සයිබර් අපරාධකරුවන්ට ආරෝපණය කරන ලද දත්තවල තිර රුව:
උද්දීපනය කළ පෙළ රුසියානු භාෂාවට පරිවර්තනය කිරීම: Nima Nikio - Spyware Developer - Email:.
මෙම තොරතුරු වලින් දැකිය හැකි පරිදි, ඊමේල් ලිපිනය ප්රහාර සඳහා භාවිතා කරන ලද ලිපිනය සහ Gladiyator_CRK සහ Nima Nikjoo යන පරිශීලකයින් සමඟ සම්බන්ධ වේ.
මීට අමතරව, 15 ජූනි 2017 වැනි දින ලිපියේ සඳහන් වූයේ නික්ජූ ඔහුගේ ජීව දත්ත පත්රයේ Kavosh ආරක්ෂක මධ්යස්ථානයට යොමු දැක්වීමේදී තරමක් නොසැලකිලිමත් වූ බවයි. කන්න
Nima Nikjoo සේවය කළ සමාගම පිළිබඳ තොරතුරු:
Twitter පරිශීලක Nima Nikjoo ගේ LinkedIn පැතිකඩෙහි ඔහු 2006 සිට 2014 දක්වා සේවය කළ Kavosh Security Center ලෙස ඔහුගේ පළමු රැකියා ස්ථානය ලැයිස්තුගත කරයි. ඔහුගේ වැඩ අතරතුර, ඔහු විවිධ අනිෂ්ට මෘදුකාංග අධ්යයනය කළ අතර, ප්රතිලෝම සහ අපැහැදිලි සම්බන්ධ වැඩ සම්බන්ධයෙන්ද කටයුතු කළේය.
Nima Nikjoo LinkedIn හි සේවය කළ සමාගම පිළිබඳ තොරතුරු:
මඩ වතුර සහ ඉහළ ආත්ම අභිමානය
MuddyWater කණ්ඩායම ඔවුන් ගැන ප්රකාශයට පත් කරන ලද තොරතුරු ආරක්ෂණ විශේෂඥයින්ගේ සියලුම වාර්තා සහ පණිවිඩ හොඳින් නිරීක්ෂණය කිරීම කුතුහලයට කරුණකි, පර්යේෂකයන් සුවඳින් ඉවතට විසි කිරීම සඳහා හිතාමතාම ව්යාජ කොඩි පවා තැබීම. නිදසුනක් වශයෙන්, ඔවුන්ගේ පළමු ප්රහාරයන් FIN7 සමූහය සමඟ පොදුවේ සම්බන්ධ වූ DNS Messenger භාවිතය හඳුනා ගැනීමෙන් විශේෂඥයන් නොමඟ යැවීය. වෙනත් ප්රහාරවලදී, ඔවුන් කේතයට චීන නූල් ඇතුළත් කළහ.
ඊට අමතරව, කණ්ඩායම පර්යේෂකයන් සඳහා පණිවිඩ යැවීමට කැමතියි. උදාහරණයක් ලෙස, Kaspersky Lab වසර සඳහා එහි තර්ජන ශ්රේණිගත කිරීම්වල MuddyWater 3 වන ස්ථානයට පත් කිරීමට ඔවුන් කැමති වූයේ නැත. එම මොහොතේම, යමෙක් - අනුමාන වශයෙන් MuddyWater කණ්ඩායම - LK ප්රති-වයිරස අක්රිය කරන සූරාකෑමක PoC එකක් YouTube වෙත උඩුගත කළේය. ඒ අය ලිපිය යට කමෙන්ට් එකකුත් දාලා.
Kaspersky Lab ප්රති-වයිරස අක්රිය කිරීම පිළිබඳ වීඩියෝවේ තිරපිටපත් සහ පහත විවරණ:
"නිමා නික්ජූ" ගේ සම්බන්ධය පිළිබඳ පැහැදිලි නිගමනයකට එළඹීම තවමත් දුෂ්කර ය. Group-IB විශේෂඥයින් අනුවාද දෙකක් සලකා බලයි. Nima Nikjoo, ඇත්ත වශයෙන්ම, MuddyWater සමූහයේ හැකර් කෙනෙකු විය හැකි අතර, ඔහුගේ නොසැලකිලිමත්කම සහ ජාලයේ ක්රියාකාරකම් වැඩි වීම හේතුවෙන් අනාවරණය විය. දෙවන විකල්පය නම්, ඔවුන්ගෙන් සැකය වෙනතකට යොමු කිරීම සඳහා කණ්ඩායමේ අනෙකුත් සාමාජිකයින් විසින් ඔහු හිතාමතාම "හෙලිදරව්" කිරීමයි. ඕනෑම අවස්ථාවක, Group-IB සිය පර්යේෂණ දිගටම කරගෙන යන අතර එහි ප්රතිඵල නිසැකවම වාර්තා කරනු ඇත.
ඉරාන APTs සම්බන්ධයෙන් ගත් කල, කාන්දුවීම් සහ කාන්දුවීම් මාලාවකින් පසුව, ඔවුන් බොහෝ විට බරපතල “විවාද කිරීමකට” මුහුණ දෙනු ඇත - හැකර්වරුන්ට ඔවුන්ගේ මෙවලම් බැරෑරුම් ලෙස වෙනස් කිරීමට, ඔවුන්ගේ ධාවන පථ පිරිසිදු කිරීමට සහ ඔවුන්ගේ ශ්රේණියේ ඇති “මවුලු” සොයා ගැනීමට බල කෙරෙනු ඇත. ප්රවීණයන් ඔවුන් කල් ඉකුත්වීම පවා ප්රතික්ෂේප නොකළ නමුත් කෙටි විවේකයකින් පසු ඉරාන APT ප්රහාර නැවතත් දිගටම පැවතුනි.
මූලාශ්රය: www.habr.com