Iranski provladni hekerji so v velikih težavah. Vso pomlad so neznanci na Telegramu objavljali "tajne informacije" o skupinah APT, povezanih z iransko vlado. Naftna ploščad и Mutna voda — njihova orodja, žrtve, povezave. Ampak ne o vseh. Aprila so strokovnjaki Group-IB odkrili uhajanje poštnih naslovov turške korporacije ASELSAN A.Ş, ki proizvaja taktične vojaške radie in elektronske obrambne sisteme za turške oborožene sile. Anastazija Tihonova, vodja skupine za napredno raziskovanje groženj Group-IB in Nikita Rostovcev, mlajši analitik pri Group-IB, je opisal potek napada na ASELSAN A.Ş in našel možnega udeleženca Mutna voda.
Osvetlitev preko Telegrama
Uhajanje iranskih skupin APT se je začelo z dejstvom, da je določen Lab Doukhtegan izvorne kode šestih orodij APT34 (aka OilRig in HelixKitten), so razkrile naslove IP in domene, vključene v operacije, ter podatke o 66 žrtvah hekerjev, vključno z Etihad Airways in Emirates National Oil. Lab Doukhtegan je razkril tudi podatke o preteklih operacijah skupine in informacije o zaposlenih na iranskem ministrstvu za informacije in nacionalno varnost, ki naj bi bili povezani z operacijami skupine. OilRig je skupina APT, povezana z Iranom, ki obstaja približno od leta 2014 in cilja na vladne, finančne in vojaške organizacije ter energetska in telekomunikacijska podjetja na Bližnjem vzhodu in Kitajskem.
Potem ko je bil OilRig razkrit, se je uhajanje nadaljevalo - na temnem omrežju in Telegramu so se pojavile informacije o dejavnostih druge prodržavne skupine iz Irana, MuddyWater. Vendar za razliko od prvega uhajanja tokrat niso bile objavljene izvorne kode, temveč odlagališča, vključno s posnetki zaslona izvornih kod, nadzornimi strežniki in naslovi IP preteklih žrtev hekerjev. Tokrat so hekerji Green Leakers prevzeli odgovornost za uhajanje podatkov o MuddyWater. V lasti imajo več kanalov Telegram in temnih spletnih mest, kjer oglašujejo in prodajajo podatke, povezane z operacijami MuddyWater.
Kibernetski vohuni z Bližnjega vzhoda
Mutna voda je skupina, ki od leta 2017 deluje na Bližnjem vzhodu. Na primer, kot ugotavljajo strokovnjaki Group-IB, so hekerji od februarja do aprila 2019 izvedli vrsto lažnih sporočil, namenjenih vladi, izobraževalnim organizacijam, finančnim, telekomunikacijskim in obrambnim podjetjem v Turčiji, Iranu, Afganistanu, Iraku in Azerbajdžanu.
Člani skupine uporabljajo backdoor lastnega razvoja na osnovi PowerShell, ki se imenuje POWERSTATS. On lahko:
- zbiranje podatkov o lokalnih in domenskih računih, razpoložljivih datotečnih strežnikih, notranjih in zunanjih naslovih IP, imenu in arhitekturi OS;
- izvajati oddaljeno izvajanje kode;
- nalaganje in prenašanje datotek prek C&C;
- zaznavanje prisotnosti programov za odpravljanje napak, ki se uporabljajo pri analizi zlonamernih datotek;
- zaustavite sistem, če najdete programe za analizo zlonamernih datotek;
- brisanje datotek z lokalnih pogonov;
- naredite posnetke zaslona;
- onemogočite varnostne ukrepe v izdelkih Microsoft Office.
Na neki točki so napadalci naredili napako in raziskovalcem iz ReaQta je uspelo pridobiti končni naslov IP, ki se nahaja v Teheranu. Glede na cilje, ki jih napade skupina, in njene cilje, povezane s kibernetskim vohunjenjem, so strokovnjaki predlagali, da skupina zastopa interese iranske vlade.
Indikatorji napadaC&C:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Datoteke:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Turčija napadena
10. aprila 2019 so strokovnjaki Group-IB odkrili uhajanje poštnih naslovov turškega podjetja ASELSAN A.Ş, največjega podjetja na področju vojaške elektronike v Turčiji. Njeni izdelki vključujejo radar in elektroniko, elektrooptiko, letalsko elektroniko, sisteme brez posadke, kopenske, pomorske, orožne in zračne obrambne sisteme.
S proučevanjem enega od novih vzorcev zlonamerne programske opreme POWERSTATS so strokovnjaki Group-IB ugotovili, da je skupina napadalcev MuddyWater kot vabo uporabila licenčno pogodbo med podjetjem Koç Savunma, ki proizvaja rešitve na področju informacijskih in obrambnih tehnologij, in Tubitak Bilgem. , center za raziskave informacijske varnosti in naprednih tehnologij. Kontaktna oseba za Koç Savunma je bil Tahir Taner Tımış, ki je bil vodja programov pri Koç Bilgi ve Savunma Teknolojileri A.Ş. od septembra 2013 do decembra 2018. Kasneje je začel delati pri ASELSAN A.Ş.
Vzorec dokumenta za vabo
Ko uporabnik aktivira zlonamerne makre, se stranska vrata POWERSTATS prenesejo v računalnik žrtve.
Zahvaljujoč metapodatkom tega vabnega dokumenta (MD5: 0638adf8fb4095d60fbef190a759aa9e) so raziskovalci lahko našli tri dodatne vzorce, ki vsebujejo enake vrednosti, vključno z datumom in uro ustvarjanja, uporabniškim imenom in seznamom vsebovanih makrov:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifikacije.doc (5c6148619abb10bb3789dcfb32f759a6)
Posnetek zaslona identičnih metapodatkov različnih lažnih dokumentov
Enega od odkritih dokumentov z imenom ListOfHackedEmails.doc vsebuje seznam 34 e-poštnih naslovov, ki pripadajo domeni @aselsan.com.tr.
Strokovnjaki Group-IB so preverili e-poštne naslove v javno dostopnih uhajanjih in ugotovili, da je bilo 28 od njih ogroženih v predhodno odkritih uhajanjih. Preverjanje mešanice razpoložljivih uhajanj je pokazalo približno 400 edinstvenih prijav, povezanih s to domeno, in gesel zanje. Možno je, da so napadalci uporabili te javno dostopne podatke za napad na ASELSAN A.Ş.
Posnetek zaslona dokumenta ListOfHackedEmails.doc
Posnetek zaslona seznama več kot 450 zaznanih parov prijava in geslo v javnih puščanjih
Med odkritimi vzorci je bil tudi dokument z naslovom F35-Specifikacije.doc, ki se nanaša na bojno letalo F-35. Vabni dokument je specifikacija za večnamenski lovec-bombnik F-35, v kateri so navedene značilnosti in cena letala. Tema tega vabnega dokumenta se neposredno nanaša na ameriško zavrnitev dobave F-35 po turškem nakupu sistemov S-400 in grožnjo prenosa informacij o F-35 Lightning II Rusiji.
Vsi prejeti podatki so pokazali, da so bile glavne tarče kibernetskih napadov MuddyWater organizacije v Turčiji.
Kdo sta Gladiyator_CRK in Nima Nikjoo?
Pred tem, marca 2019, so odkrili zlonamerne dokumente, ki jih je ustvaril en uporabnik sistema Windows pod vzdevkom Gladiyator_CRK. Ti dokumenti so tudi distribuirali stranska vrata POWERSTATS in se povezali s strežnikom C&C s podobnim imenom gladiator[.]tk.
To je bilo morda storjeno po objavi uporabnika Nima Nikjoo na Twitterju 14. marca 2019, v katerem je poskušal dekodirati zakrito kodo, povezano z MuddyWater. V komentarjih na ta tvit je raziskovalec dejal, da ne more deliti indikatorjev ogroženosti za to zlonamerno programsko opremo, saj so te informacije zaupne. Objava je žal že izbrisana, a na spletu ostajajo njene sledi:
Nima Nikjoo je lastnik profila Gladiyator_CRK na iranskih straneh za gostovanje videa dideo.ir in videoi.ir. Na tem spletnem mestu prikazuje izkoriščanja PoC za onemogočanje protivirusnih orodij različnih prodajalcev in obhod peskovnikov. Nima Nikjoo o sebi piše, da je strokovnjak za omrežno varnost, pa tudi obratni inženir in analitik zlonamerne programske opreme, ki dela za MTN Irancell, iransko telekomunikacijsko podjetje.
Posnetek zaslona shranjenih videoposnetkov v Googlovih rezultatih iskanja:
Kasneje, 19. marca 2019, je uporabnik Nima Nikjoo na družbenem omrežju Twitter spremenil svoj vzdevek v Malware Fighter, prav tako pa je izbrisal povezane objave in komentarje. Izbrisali so tudi profil Gladiyator_CRK na video gostovanju dideo.ir, tako kot na YouTubu, sam profil pa so preimenovali v N Tabrizi. Vendar pa je skoraj mesec dni pozneje (16. aprila 2019) Twitter račun spet začel uporabljati ime Nima Nikjoo.
Med študijo so strokovnjaki Group-IB odkrili, da je bil Nima Nikjoo že omenjen v povezavi s kiberkriminalnimi dejavnostmi. Avgusta 2014 je blog Iran Khabarestan objavil informacije o posameznikih, povezanih s skupino kibernetskih kriminalcev Iranian Nasr Institute. Ena preiskava FireEye je navedla, da je bil inštitut Nasr pogodbenik za APT33 in je bil tudi vpleten v napade DDoS na ameriške banke med letoma 2011 in 2013 kot del kampanje, imenovane Operation Ababil.
Tako je bil v istem blogu omenjen Nima Nikju-Nikjoo, ki je razvijal zlonamerno programsko opremo za vohunjenje za Iranci, in njegov elektronski naslov: gladiyator_cracker@yahoo[.]com.
Posnetek zaslona podatkov, pripisanih kibernetskim kriminalcem iz iranskega inštituta Nasr:
Prevod označenega besedila v ruščino: Nima Nikio - razvijalec vohunske programske opreme - e-pošta:.
Kot je razvidno iz teh informacij, je e-poštni naslov povezan z naslovom, uporabljenim v napadih in uporabnikoma Gladiyator_CRK in Nima Nikjoo.
Poleg tega je v članku z dne 15. junija 2017 navedeno, da je bil Nikjoo nekoliko nepreviden pri objavljanju sklicevanj na Kavosh Security Center v svojem življenjepisu. Jejte da varnostni center Kavosh podpira iranska država za financiranje provladnih hekerjev.
Podatki o podjetju, kjer je delal Nima Nikjoo:
Profil uporabnika Twitterja Nime Nikjoo na LinkedInu navaja njegovo prvo mesto zaposlitve kot varnostni center Kavosh, kjer je delal od leta 2006 do 2014. Med svojim delom je preučeval različno zlonamerno programsko opremo, ukvarjal pa se je tudi z delom, povezanim z obratno in zamegljevanjem.
Informacije o podjetju, za katerega je delal Nima Nikjoo, na LinkedInu:
MuddyWater in visoka samozavest
Zanimivo je, da skupina MuddyWater skrbno spremlja vsa poročila in sporočila strokovnjakov za informacijsko varnost, objavljena o njih, in je sprva celo namerno puščala lažne zastavice, da bi raziskovalce odvrnila od vonja. Njihovi prvi napadi so na primer zavedli strokovnjake z odkrivanjem uporabe DNS Messengerja, ki je bil običajno povezan s skupino FIN7. Pri drugih napadih so v kodo vstavili kitajske nize.
Poleg tega skupina rada pušča sporočila raziskovalcem. Na primer, ni jim bilo všeč, da je Kaspersky Lab MuddyWater uvrstil na 3. mesto v svoji oceni nevarnosti za to leto. V istem trenutku je nekdo - domnevno skupina MuddyWater - na YouTube naložil PoC eksploatacije, ki onemogoča protivirusni program LK. Pod člankom so pustili tudi komentar.
Posnetki zaslona videoposnetka o onemogočanju protivirusnega programa Kaspersky Lab in spodnji komentar:
Še vedno je težko nedvoumno sklepati o vpletenosti "Nima Nikjoo". Strokovnjaki Group-IB razmišljajo o dveh različicah. Nima Nikjoo je res lahko heker iz skupine MuddyWater, ki je prišel na dan zaradi svoje malomarnosti in povečane aktivnosti na omrežju. Druga možnost pa je, da so ga namerno »razkrinkali« drugi člani skupine, da bi sum odvrnili od sebe. V vsakem primeru Group-IB nadaljuje svoje raziskave in bo zagotovo poročala o njihovih rezultatih.
Kar zadeva iranske APT, se bodo po vrsti uhajanj in uhajanj verjetno soočili z resnim "debrifingom" - hekerji bodo prisiljeni resno spremeniti svoja orodja, počistiti svoje sledi in najti morebitne "krte" v svojih vrstah. Strokovnjaki niso izključili, da bi si vzeli celo odmor, a po kratkem premoru so se iranski napadi APT spet nadaljevali.
Vir: www.habr.com