Jabsadayaasha dawladda Iiraan ayaa dhibaato weyn ku haya. Gu'gii oo dhan, dad aan la garanayn ayaa ku daabacay Telegram-ka "daro sir ah" - macluumaadka ku saabsan kooxaha APT ee xiriirka la leh dawladda Iran - Saliidda Saliidda ΠΈ MuddyWater - qalabkooda, dhibbanayaasha, isku xirka. Laakiin maaha qof walba. Bishii Abriil, khubarada kooxda-IB waxay ogaadeen ciwaannada boostada ee shirkadda Turkiga ASELSAN A.Ε, oo soo saarta raadiyaha milatari ee taatikada ah iyo nidaamyada difaaca elektaroonigga ah ee ciidamada qalabka sida ee Turkiga. Anastasia Tikhonova, Kooxda-IB Hogaamiye Kooxeedka Cilmi-baarista Halista Sare, iyo Nikita Rostovtsev, falanqeeye da'yar oo ka tirsan kooxda-IB, ayaa sharraxay qaabka uu u dhacay weerarka ASELSAN A.Ε oo uu helay ka-qaybgale suurtagal ah MuddyWater.
Iftiinka via Telegram
Siideynta kooxaha APT ee Iran waxay ku bilaabatay xaqiiqda ah in shaybaar Doukhtegan gaar ah Koodhadhka isha ee lix qalab APT34 (aka OilRig iyo HelixKitten), ayaa shaaca ka qaaday ciwaannada IP-yada iyo goobaha ku lug leh hawlgallada, iyo sidoo kale xogta 66 dhibanayaasha tuugada, oo ay ku jiraan Etihad Airways iyo Emirates National Oil. Lab Doookhtegan ayaa sidoo kale faafiyay xogta ku saabsan hawlgaladii hore ee kooxda iyo xog ku saabsan shaqaalaha Wasaaradda Warfaafinta iyo Amniga Qaranka Iran oo lagu eedeeyay inay xiriir la leeyihiin kooxdan. OilRig waa koox xiriir la leh Iran oo APT ah oo soo jirtay ilaa 2014 waxayna beegsataa dawladda, ururada maaliyadeed iyo militariga, iyo sidoo kale shirkadaha tamarta iyo isgaarsiinta ee Bariga Dhexe iyo Shiinaha.
Ka dib markii OilRig la kashifay, siidaynta ayaa sii socotay - macluumaadka ku saabsan dhaqdhaqaaqa koox kale oo taageersan dawladda Iran, MuddyWater, ayaa ka soo muuqday mugdiga iyo Telegram. Si kastaba ha ahaatee, si ka duwan daadadkii ugu horreeyay, waqtigan ma ahayn koodhadhka isha ee la daabacay, laakiin daadinta, oo ay ku jiraan shaashadaha koodhka isha, server-yada xakamaynta, iyo sidoo kale ciwaannada IP-yada ee dhibbanayaasha hore ee haakariska. Markan, Green Leakers haakarisku waxay qaadeen mas'uuliyadda soo daadashada MuddyWater. Waxay leeyihiin dhowr kanaal oo Telegram ah iyo shabakadaha darknet halkaas oo ay ku xayeysiiyaan kuna iibiyaan xogta la xidhiidha hawlaha MuddyWater.
Basaasiinta internetka ee Bariga Dhexe
MuddyWater waa koox firfircoon ilaa 2017 ee Bariga Dhexe. Tusaale ahaan, sida khubarada Kooxda-IB ay xuseen, laga bilaabo Febraayo ilaa Abriil 2019, tuugadu waxay fuliyeen fariimo phishing taxane ah oo loola dan lahaa dawladda, ururada waxbarashada, maaliyadda, isgaarsiinta iyo shirkadaha difaaca ee Turkiga, Iran, Afgaanistaan, Ciraaq iyo Asarbayjan.
Xubnaha kooxdu waxay isticmaalaan albaab danbe oo horumarkooda ku salaysan PowerShell, kaas oo loo yaqaan AWOODAHA. Wuu awoodaa:
- ururiyaan xogta ku saabsan koontooyinka maxalliga ah iyo domainka, faylalka la heli karo, ciwaannada IP gudaha iyo dibadda, magaca iyo qaab dhismeedka OS;
- fulinta code fog;
- ku soo rog oo kala soo bixi faylalka C&C;
- ogow joogitaanka barnaamijyada khaladka ah ee loo isticmaalo falanqaynta faylasha xaasidnimada ah;
- xir nidaamka haddii barnaamijyada lagu falanqeeyo faylasha xaasidnimada ah la helo;
- tirtir faylasha ka mid ah darawallada maxalliga ah;
- qaado shaashado;
- dami tallaabooyinka amniga ee alaabta Microsoft Office.
Mararka qaarkood, weeraryahannadu waxay sameeyeen khalad, cilmi-baarayaasha ReaQta waxay ku guuleysteen inay helaan cinwaanka IP-ga ugu dambeeya, kaas oo ku yaal Tehran. Marka la eego bartilmaameedyada ay kooxdu weerartay iyo sidoo kale hadafyada la xidhiidha basaasnimada internetka, khubaradu waxay soo jeediyeen in kooxdan ay matasho danaha dawladda Iran.
Tilmaamayaasha weerarkaC&C:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Files:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Turkiga oo la weeraray
Abriil 10, 2019, khubarada Group-IB waxay ogaadeen ciwaanada boostada ee shirkadda Turkiga ee ASELSAN A.Ε, oo ah shirkadda ugu weyn dhinaca qalabka elektiroonigga ah ee Turkiga. Alaabta ay soo saarto waxaa ka mid ah radar iyo electronics, electro-optics, avionics, avionics, unmanned systems, dhulka, badda, hubka iyo nidaamka difaaca hawada.
Barashada mid ka mid ah muunadaha cusub ee POWERSTATS malware, khubarada Group-IB waxay go'aamiyeen in kooxda MuddyWater ee weeraryahanadu u adeegsadeen sidii dukumeenti dukumeenti ah heshiis shatiga u dhexeeya KoΓ§ Savunma, shirkad soo saarta xalalka dhinaca macluumaadka iyo tignoolajiyada difaaca, iyo Tubitak Bilgem , xarun cilmi-baarista amniga macluumaadka iyo tignoolajiyada horumarsan. Xiriiriyaha KoΓ§ Savunma wuxuu ahaa Tahir Taner TΔ±mΔ±Ε, oo hayay jagada Maareeyaha Barnaamijyada ee KoΓ§ Bilgi ve Savunma Teknolojileri A.Ε. laga bilaabo Sebtembar 2013 ilaa Disembar 2018. Ka dib waxa uu ka shaqo bilaabay ASELSAN A.Ε.
Tusaalaha dukumeenti khiyaano
Ka dib markii isticmaaluhu uu kiciyo macros xaasidnimo ah, POWERSTATS albaabka dambe waxaa lagu soo dejiyaa kombiyuutarka dhibbanaha.
Waad ku mahadsan tahay xogta badan ee dukumeentigan khiyaanada ah (MD5: 0638adf8fb4095d60fbef190a759aa9eCilmi-baarayaashu waxay awoodeen inay helaan saddex muunado oo dheeraad ah oo ka kooban qiyam isku mid ah, oo ay ku jiraan taariikhda iyo wakhtiga abuurista, magaca isticmaalaha, iyo liiska macros ka kooban:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Sawir-qaadista xogta badan ee isku midka ah ee dukumentiyada khiyaanada ee kala duwan
Mid ka mid ah dukumentiyada la helay oo magaca ListOfHackedEmails.doc ka kooban yahay liiska 34 ciwaan email ah oo ka tirsan domainka @aselsan.com.tr.
Kooxda-IB ee ku taqasusay waxay ka hubiyeen ciwaanada iimaylka meel fagaare ah oo la heli karo waxayna ogaadeen in 28 ka mid ah ay wax u dhimeen duleelo hore loo helay. Hubinta isku darka daadinta la heli karo waxay muujisay ilaa 400 oo gal gaar ah oo la xidhiidha domainkan iyo ereyada sirta ah ee iyaga. Waxaa suurtogal ah in weeraryahanadu ay adeegsadeen xogtan si guud loo heli karo si ay u weeraraan ASELSAN A.Ε.
Sawirka dukumeentiga ListOfHackedEmails.doc
Shaashadda liiska in ka badan 450 la helay lammaane-password-ka-soo-gelidda ee daadinta dadweynaha
Muunadaha la helay waxaa ka mid ah dukumeenti cinwaankiisu yahay F35-Specifications.doc, iyada oo tixraacaysa diyaaradda dagaalka ee F-35. Dukumeentiga sedku waa tilmaame F-35 dagaal-yahanno door-badan leh, oo muujinaya sifooyinka diyaaradda iyo qiimaha. Mawduuca dukumeentigan khiyaanada ah wuxuu si toos ah ula xiriiraa diidmada Mareykanka ee bixinta F-35 ka dib iibsashada Turkiga ee nidaamyada S-400 iyo hanjabaadda ku saabsan wareejinta macluumaadka F-35 Hillaaca II ee Ruushka.
Dhammaan xogta la helay ayaa tilmaamaysa in bartilmaameedyada ugu muhiimsan ee MuddyWater weerarrada internetka ay ahaayeen ururro ku yaalla Turkiga.
Waa ayo Gladiyator_CRK iyo Nima Nikjoo?
Horaantii, bishii Maarso 2019, dukumeenti xaasidnimo ah ayaa la helay waxaa sameeyay hal isticmaale Windows oo hoos yimaada naaneyska Gladiyator_CRK. Dukumeentiyadani waxay sidoo kale qaybiyeen POWERSTATS albaabka dambe waxayna ku xidheen server-ka C&C oo leh magac la mid ah gladiator[.]tk.
Tan waxa laga yaabaa in la sameeyay ka dib markii isticmaale Nima Nikjoo uu soo dhejiyay Twitter-ka Maarso 14, 2019, isaga oo isku dayaya in uu kala saaro koodka qarsoon ee la xidhiidha MuddyWater. Faallooyinka uu soo dhigay bartiisa twitter-ka, cilmi-baaraha ayaa sheegay in aanu la wadaagi karin tilmaamayaasha u tanaasulka malware-kan, maadaama macluumaadkani yahay mid sir ah. Nasiib darro, boostada mar hore waa la tirtiray, laakiin raadkeedu wuxuu ahaanayaa onlayn:
Nima Nikjoo waa milkiilaha Gladiyator_CRK profile ee goobaha fiidyaha ee Iran dideo.ir iyo videoi.ir. Boggaan, wuxuu ku soo bandhigayaa ka faa'iidaysiga PoC si uu u joojiyo aaladaha ka-hortagga ka-hortagga iibiyeyaasha kala duwan iyo in laga gudbo sanduuqyada ciidda. Nima Nikjoo wuxuu wax ka qoray naftiisa inuu yahay khabiir ku takhasusay amniga shabakada, iyo sidoo kale injineer roga ah iyo falanqeeye malware oo u shaqeeya MTN Irancell, shirkad isgaarsiineed oo Iran ah.
Sawirka muuqaallada la kaydiyay ee natiijooyinka raadinta Google:
Ka dib, Maarso 19, 2019, isticmaalaha Nima Nikjoo ee shabakada bulshada ee Twitter ayaa naanaysta u beddelay Malware Fighter, oo sidoo kale tirtiray qoraallada iyo faallooyinka la xidhiidha. Xogta Gladiyator_CRK ee ku saabsan martigelinta fiidyaha dideo.ir sidoo kale waa la tirtiray, sida ku dhacday YouTube, profile laftiisana waxaa loo beddelay N Tabrizi. Si kastaba ha ahaatee, ku dhawaad ββhal bil kadib (Abriil 16, 2019), koontada Twitter-ka ayaa mar kale bilowday adeegsiga magaca Nima Nikjoo.
Intii lagu guda jiray daraasadda, khabiirada Kooxda-IB waxay ogaadeen in Nima Nikjoo horay loogu sheegay hawlaha dembiyada internetka. Bishii Agoosto 2014, barta Iran Khabarestan blog ayaa daabacday macluumaad ku saabsan shakhsiyaadka xiriirka la leh kooxda dembiilayaasha internetka ee Iran Nasr Institute. Mid ka mid ah baaritaanka FireEye ayaa lagu sheegay in Machadka Nasr uu ahaa qandaraasle APT33 sidoo kale wuxuu ku lug lahaa weeraradii DDoS ee bangiyada Maraykanka intii u dhaxaysay 2011 iyo 2013 taasoo qayb ka ah olole loogu magac daray Operation Ababil.
Markaa isla bartaas, Nima Nikju-Nikjoo ayaa lagu sheegay, kaasoo horumarinayay malware si uu u basaaso Iiraaniyiinta, iyo ciwaankiisa iimaylka: gladiator_cracker@yahoo[.]com.
Sawir-qaadista xogta loo nisbeeyay dambiilayaasha internetka ee Machadka Nasr ee Iran:
U turjumaadda qoraalka la iftiimiyay ee Ruushka: Nima Nikio - Soo-saare Spyware - iimaylka:.
Sida laga arki karo macluumaadkan, ciwaanka iimaylka waxa uu la xidhiidha ciwaanka loo isticmaalay weerarrada iyo isticmaalayaasha Gladiyator_CRK iyo Nima Nikjoo.
Intaa waxaa dheer, maqaalka Juun 15, 2017 wuxuu sheegay in Nikjoo uu xoogaa taxadar la'aan ah ku dhejiyay tixraacyada Xarunta Amniga ee Kavosh resumeygiisa. Cun in Xarunta Amniga ee Kavosh ay ka taageerto dawladda Iran si ay u maalgeliso tuugada dawladda taageersan.
Macluumaadka shirkadii ay Nima Nikjoo ka shaqaynaysay:
Isticmaalaha Twitter-ka ee Nima Nikjoo profile-ka LinkedIn wuxuu taxayaa meeshii ugu horreysay ee uu ka shaqeeyo sidii Xarunta Amniga ee Kavosh, halkaasoo uu ka soo shaqeeyay 2006 ilaa 2014. Intii uu ku guda jiray shaqadiisa, waxa uu bartay malware-ka kala duwan, waxa kale oo uu la tacaalayay shaqada gadista iyo daah-furnaanta la xidhiidha.
Macluumaadka ku saabsan shirkadda Nima Nikjoo ay uga shaqeysay LinkedIn:
MuddyWater iyo kalsooni sare
Waxaa la yaab leh in kooxda MuddyWater ay si taxadar leh ula socdaan dhammaan warbixinnada iyo fariimaha ka imanaya khubarada amniga macluumaadka ee laga daabacay iyaga, oo xitaa si ula kac ah uga tageen calanka beenta ah marka hore si ay cilmi-baarayaasha uga tuuraan urta. Tusaale ahaan, weerarradoodii ugu horreeyay waxay marin habaabiyeen khubarada iyagoo ogaanaya adeegsiga DNS Messenger, kaas oo inta badan lala xiriiriyo kooxda FIN7. Weerarada kale, waxay geliyeen xadhkaha Shiinaha ee koodhka.
Intaa waxaa dheer, kooxdu waxay jecel yihiin inay ka tagaan farriimaha cilmi-baarayaasha. Tusaale ahaan, ma aysan jeclayn in Kaspersky Lab uu meeleeyo MuddyWater kaalinta 3aad ee qiimeynteeda khatarta sanadka. Isla markaa, qof - oo loo malaynayo kooxda MuddyWater - ayaa soo galiyay PoC-ga faa'iidada YouTube-ka taasoo curyaamisa antivirus-ka LK. Waxay sidoo kale kaga tageen faallo hoos qormada.
Sawirada fiidiyowga ee curyaaminta Kaspersky Lab antivirus iyo faallooyinka hoose:
Wali way adagtahay in la sameeyo gunaanad aan madmadow lahayn oo ku saabsan ku lug lahaanshaha "Nima Nikjoo". Khubarada kooxda-IB waxay tixgelinayaan laba nooc. Nima Nikjoo, runtii, waxaa laga yaabaa inay tahay hacker ka tirsan kooxda MuddyWater, kaasoo u soo shaac baxay dayacnaantiisa iyo dhaqdhaqaaqa badan ee shabakadda. Doorashada labaad ayaa ah in uu si badheedh ah u "soo bandhigay" xubnaha kale ee kooxda si ay uga weeciyaan shakiga naftooda. Si kastaba ha ahaatee, Kooxda-IB waxay sii waddaa cilmi-baaristeeda waxayna hubaal ka sheegi doontaa natiijooyinkeeda.
Dhanka APT-yada Iran, ka dib daadad isdaba joog ah oo soo daatay, waxay u badan tahay inay la kulmi doonaan "wax ka sheegid" halis ah - hackers-ka waxaa lagu qasbi doonaa inay si dhab ah u beddelaan qalabkooda, nadiifiyaan raadkooda oo ay ka helaan "jidhyo" suurtagal ah safkooda. Khubarada meesha kama saarin in ay xitaa wakhti qaadan doonaan, laakiin nasasho yar ka dib, weeraradii APT ee Iran ayaa sii socday.
Source: www.habr.com