Iránski provládni hackeri majú veľké problémy. Počas jari neznámi ľudia uverejňovali „tajné úniky“ na telegrame – informácie o skupinách APT spojených s iránskou vládou – OilRig и Zablátená voda — ich nástroje, obete, spojenia. Ale nie o všetkých. V apríli odhalili špecialisti Group-IB únik poštových adries tureckej korporácie ASELSAN A.Ş, ktorá vyrába taktické vojenské rádiá a elektronické obranné systémy pre turecké ozbrojené sily. Anastasia Tichonova, vedúci tímu pokročilého výskumu hrozieb Group-IB a Nikita Rostovtsev, junior analytik Group-IB, opísal priebeh útoku na ASELSAN A.Ş a našiel možného účastníka Zablátená voda.
Osvetlenie prostredníctvom telegramu
Únik iránskych skupín APT začal tým, že istý Lab Doukhtegan zdrojové kódy šiestich nástrojov APT34 (aka OilRig a HelixKitten) odhalili IP adresy a domény zapojené do operácií, ako aj údaje o 66 obetiach hackerov, vrátane Etihad Airways a Emirates National Oil. Lab Doookhtegan tiež unikol údaje o minulých operáciách skupiny a informácie o zamestnancoch iránskeho ministerstva informácií a národnej bezpečnosti, ktorí sú údajne spojení s operáciami skupiny. OilRig je skupina APT prepojená s Iránom, ktorá existuje približne od roku 2014 a zameriava sa na vládne, finančné a vojenské organizácie, ako aj energetické a telekomunikačné spoločnosti na Blízkom východe a v Číne.
Po odhalení OilRig úniky pokračovali – na darknete a na Telegrame sa objavili informácie o aktivitách ďalšej proštátnej skupiny z Iránu MuddyWater. Na rozdiel od prvého úniku však tentoraz neboli zverejnené zdrojové kódy, ale výpisy vrátane snímok zdrojových kódov, riadiacich serverov, ako aj IP adries minulých obetí hackerov. Tentoraz prevzali zodpovednosť za únik informácií o MuddyWater hackeri Green Leakers. Vlastní niekoľko telegramových kanálov a darknetových stránok, kde inzerujú a predávajú údaje súvisiace s operáciami MuddyWater.
Kyberšpióni z Blízkeho východu
Zablátená voda je skupina, ktorá pôsobí od roku 2017 na Blízkom východe. Napríklad, ako poznamenávajú experti Group-IB, od februára do apríla 2019 hackeri uskutočnili sériu phishingových správ zameraných na vládu, vzdelávacie organizácie, finančné, telekomunikačné a obranné spoločnosti v Turecku, Iráne, Afganistane, Iraku a Azerbajdžane.
Členovia skupiny využívajú zadné vrátka vlastného vývoja založeného na PowerShell, tzv POWERSTATS. Vie:
- zhromažďovať údaje o lokálnych a doménových účtoch, dostupných súborových serveroch, interných a externých IP adresách, názve a architektúre OS;
- vykonávať vzdialené spustenie kódu;
- nahrávanie a sťahovanie súborov cez C&C;
- zistiť prítomnosť ladiacich programov používaných pri analýze škodlivých súborov;
- vypnite systém, ak sa nájdu programy na analýzu škodlivých súborov;
- odstrániť súbory z miestnych diskov;
- robiť snímky obrazovky;
- vypnúť bezpečnostné opatrenia v produktoch Microsoft Office.
V istom momente sa útočníci pomýlili a výskumníkom z ReaQta sa podarilo získať konečnú IP adresu, ktorá sa nachádzala v Teheráne. Vzhľadom na ciele, na ktoré skupina útočí, ako aj jej ciele súvisiace s kybernetickou špionážou, experti navrhli, aby skupina zastupovala záujmy iránskej vlády.
Indikátory útokuC&C:
- gladiátor[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Súbory:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye pod útokom
Špecialisti Group-IB zistili 10. apríla 2019 únik poštových adries tureckej spoločnosti ASELSAN A.Ş, najväčšej spoločnosti v oblasti vojenskej elektroniky v Turecku. Medzi jej produkty patria radary a elektronika, elektrooptika, avionika, bezpilotné systémy, pozemné, námorné, zbraňové systémy a systémy protivzdušnej obrany.
Študovaním jednej z nových vzoriek malvéru POWERSTATS experti Group-IB zistili, že skupina útočníkov MuddyWater použila ako návnadu licenčnú zmluvu medzi Koç Savunma, spoločnosťou vyrábajúcou riešenia v oblasti informačných a obranných technológií, a Tubitak Bilgem. , výskumné centrum informačnej bezpečnosti a pokročilých technológií. Kontaktnou osobou pre Koç Savunma bol Tahir Taner Tımış, ktorý zastával pozíciu programového manažéra v Koç Bilgi ve Savunma Teknolojileri A.Ş. od septembra 2013 do decembra 2018. Neskôr začal pracovať v ASELSAN A.Ş.
Vzorový návnadový dokument
Keď používateľ aktivuje škodlivé makrá, backdoor POWERSTATS sa stiahne do počítača obete.
Vďaka metadátam tohto návnadového dokumentu (MD5: 0638adf8fb4095d60fbef190a759aa9e) výskumníkom sa podarilo nájsť tri ďalšie vzorky obsahujúce identické hodnoty vrátane dátumu a času vytvorenia, používateľského mena a zoznamu makier, ktoré obsahujú:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Snímka obrazovky identických metadát rôznych návnadových dokumentov
Jeden z objavených dokumentov s názvom ListOfHackedEmails.doc obsahuje zoznam 34 emailových adries patriacich do domény @aselsan.com.tr.
Špecialisti Group-IB skontrolovali e-mailové adresy vo verejne dostupných únikoch a zistili, že 28 z nich bolo ohrozených v predtým objavených únikoch. Kontrola mixu dostupných únikov ukázala asi 400 jedinečných prihlásení spojených s touto doménou a heslá k nim. Je možné, že útočníci použili tieto verejne dostupné údaje na útok na ASELSAN A.Ş.
Snímka obrazovky dokumentu ListOfHackedEmails.doc
Snímka obrazovky so zoznamom viac ako 450 zistených párov prihlasovacie meno a heslo vo verejných únikoch
Medzi objavenými vzorkami bol aj dokument s názvom F35-Špecifikácie.doc, s odkazom na stíhačku F-35. Dokument s návnadou je špecifikácia pre viacúčelový stíhací bombardér F-35 s uvedením vlastností a ceny lietadla. Téma tohto návnadového dokumentu priamo súvisí s odmietnutím USA dodať F-35 po kúpe systémov S-400 Tureckom a hrozbou prenosu informácií o F-35 Lightning II do Ruska.
Všetky získané údaje naznačovali, že hlavnými cieľmi kybernetických útokov MuddyWater boli organizácie nachádzajúce sa v Turecku.
Kto sú Gladiyator_CRK a Nima Nikjoo?
Predtým, v marci 2019, boli objavené škodlivé dokumenty vytvorené jedným používateľom systému Windows pod prezývkou Gladiyator_CRK. Tieto dokumenty tiež distribuovali backdoor POWERSTATS a pripájali sa k serveru C&C s podobným názvom gladiátor[.]tk.
Mohlo sa tak stať po tom, čo používateľ Nima Nikjoo 14. marca 2019 uverejnil príspevok na Twitteri a pokúsil sa dekódovať zahmlený kód spojený s MuddyWater. V komentároch k tomuto tweetu výskumník uviedol, že nemôže zdieľať indikátory ohrozenia tohto malvéru, pretože tieto informácie sú dôverné. Žiaľ, príspevok už bol zmazaný, ale stopy po ňom zostali online:
Nima Nikjoo je vlastníkom profilu Gladiyator_CRK na iránskych stránkach na hosťovanie videa dideo.ir a videoi.ir. Na tejto stránke demonštruje využitie PoC na deaktiváciu antivírusových nástrojov od rôznych dodávateľov a obchádzanie sandboxov. Nima Nikjoo o sebe píše, že je špecialistom na sieťovú bezpečnosť, ako aj reverzným inžinierom a analytikom malvéru, ktorý pracuje pre iránsku telekomunikačnú spoločnosť MTN Irancell.
Snímka obrazovky uložených videí vo výsledkoch vyhľadávania Google:
Neskôr, 19. marca 2019, si používateľ Nima Nikjoo na sociálnej sieti Twitter zmenil prezývku na Malware Fighter a vymazal aj súvisiace príspevky a komentáre. Zmazaný bol aj profil Gladiyator_CRK na videohostingu dideo.ir, ako tomu bolo na YouTube a samotný profil bol premenovaný na N Tabrizi. Takmer o mesiac neskôr (16. apríla 2019) však účet na Twitteri opäť začal používať meno Nima Nikjoo.
Počas štúdie špecialisti Group-IB zistili, že Nima Nikjoo už bola spomenutá v súvislosti s kyberzločineckými aktivitami. V auguste 2014 blog Iran Khabarestan zverejnil informácie o jednotlivcoch spojených s kyberzločineckou skupinou Iranian Nasr Institute. Jedno vyšetrovanie FireEye uviedlo, že Nasr Institute bol dodávateľom pre APT33 a bol tiež zapojený do DDoS útokov na americké banky v rokoch 2011 až 2013 v rámci kampane s názvom Operation Ababil.
Takže v tom istom blogu bol spomenutý Nima Nikju-Nikjoo, ktorý vyvíjal malvér na špehovanie Iráncov, a jeho e-mailová adresa: gladiyator_cracker@yahoo[.]com.
Snímka obrazovky údajov pripisovaných kyberzločincom z iránskeho inštitútu Nasr:
Preklad zvýrazneného textu do ruštiny: Nima Nikio – vývojár spywaru – e-mail:.
Ako je zrejmé z týchto informácií, e-mailová adresa je spojená s adresou použitou pri útokoch a používateľmi Gladiyator_CRK a Nima Nikjoo.
V článku z 15. júna 2017 sa navyše uvádzalo, že Nikjoo bol trochu neopatrný, keď vo svojom životopise uvádzal odkazy na Kavosh Security Center. Jedzte že Kavosh Security Center je podporovaný iránskym štátom na financovanie provládnych hackerov.
Informácie o spoločnosti, v ktorej pracovala Nima Nikjoo:
Profil používateľa Twitter Nima Nikjoo na LinkedIn uvádza jeho prvé miesto zamestnania ako Kavosh Security Center, kde pracoval v rokoch 2006 až 2014. Počas svojej práce študoval rôzny malvér a zaoberal sa aj reverznými a zahmlievacími prácami.
Informácie o spoločnosti, pre ktorú Nima Nikjoo pracovala na LinkedIn:
MuddyWater a vysoké sebavedomie
Je zvláštne, že skupina MuddyWater pozorne monitoruje všetky správy a správy od odborníkov na informačnú bezpečnosť, ktoré o nich boli publikované, a dokonca na začiatku úmyselne nechávala falošné vlajky, aby výskumníkov zbavila pachu. Napríklad ich prvé útoky zavádzali odborníkov tým, že odhalili používanie DNS Messengera, ktorý bol bežne spájaný so skupinou FIN7. Pri iných útokoch vložili do kódu čínske reťazce.
Okrem toho skupina rada zanecháva správy pre výskumníkov. Nepáčilo sa im napríklad, že spoločnosť Kaspersky Lab umiestnila MuddyWater na 3. miesto v hodnotení hrozieb za rok. V tom istom momente niekto – pravdepodobne skupina MuddyWater – nahral na YouTube PoC exploitu, ktorý deaktivuje antivírus LK. Pod článkom zanechali aj komentár.
Snímky obrazovky videa o deaktivácii antivírusu Kaspersky Lab a komentár nižšie:
Stále je ťažké urobiť jednoznačný záver o zapojení „Nima Nikjoo“. Experti Group-IB zvažujú dve verzie. Nima Nikjoo môže byť skutočne hackerom zo skupiny MuddyWater, ktorý vyšiel najavo svojou nedbalosťou a zvýšenou aktivitou na sieti. Druhou možnosťou je, že bol zámerne „odhalený“ ostatnými členmi skupiny, aby odvrátili podozrenie od nich samých. V každom prípade Group-IB pokračuje vo svojom výskume a určite podá správu o svojich výsledkoch.
Čo sa týka iránskych APT, po sérii únikov a únikov budú pravdepodobne čeliť vážnemu „debriefingu“ - hackeri budú nútení vážne zmeniť svoje nástroje, vyčistiť svoje stopy a nájsť v ich radoch možných „krtkov“. Experti nevylúčili, že si zoberú aj timeout, no po krátkej prestávke iránske útoky APT opäť pokračovali.
Zdroj: hab.com