Iranska regeringsvänliga hackare har stora problem. Under hela våren publicerade okända personer "hemliga läckor" på Telegram - information om APT-grupper associerade med den iranska regeringen - Oljeplattform и Grumligt vatten — deras verktyg, offer, kontakter. Men inte om alla. I april upptäckte Group-IB-specialister en läcka av postadresser till det turkiska företaget ASELSAN A.Ş, som tillverkar taktiska militärradioapparater och elektroniska försvarssystem för de turkiska väpnade styrkorna. Anastasia Tikhonova, Group-IB Advanced Threat Research Team Leader, och Nikita Rostovtsev, junioranalytiker på Group-IB, beskrev förloppet av attacken mot ASELSAN A.Ş och hittade en möjlig deltagare Grumligt vatten.
Belysning via telegram
Läckan av iranska APT-grupper började med att en viss Lab Doukhtegan källkoderna för sex APT34-verktyg (alias OilRig och HelixKitten), avslöjade IP-adresserna och domänerna som var involverade i verksamheten, samt data om 66 offer för hackare, inklusive Etihad Airways och Emirates National Oil. Lab Doookhtegan läckte också data om gruppens tidigare verksamhet och information om anställda vid det iranska ministeriet för information och nationell säkerhet som påstås vara associerade med gruppens verksamhet. OilRig är en Iranlänkad APT-grupp som har funnits sedan omkring 2014 och riktar sig till statliga, finansiella och militära organisationer, samt energi- och telekommunikationsföretag i Mellanöstern och Kina.
Efter att OilRig avslöjats fortsatte läckorna – information om verksamheten hos en annan prostatlig grupp från Iran, MuddyWater, dök upp på darknet och på Telegram. Men till skillnad från den första läckan var det den här gången inte källkoderna som publicerades, utan dumpar, inklusive skärmdumpar av källkoderna, kontrollservrar, samt IP-adresserna till tidigare offer för hackare. Den här gången tog Green Leakers hackare ansvaret för läckan om MuddyWater. De äger flera Telegram-kanaler och darknet-sajter där de annonserar och säljer data relaterad till MuddyWaters verksamhet.
Cyberspioner från Mellanöstern
Grumligt vatten är en grupp som varit aktiv sedan 2017 i Mellanöstern. Till exempel, som Group-IB-experter noterar, från februari till april 2019 genomförde hackare en serie nätfiskeutskick riktade till myndigheter, utbildningsorganisationer, finans-, telekommunikations- och försvarsföretag i Turkiet, Iran, Afghanistan, Irak och Azerbajdzjan.
Gruppmedlemmarna använder en bakdörr av sin egen utveckling baserad på PowerShell, som kallas POWERSTATS. Han kan:
- samla in data om lokala konton och domänkonton, tillgängliga filservrar, interna och externa IP-adresser, OS-namn och arkitektur;
- utföra fjärrkodexekvering;
- ladda upp och ladda ner filer via C&C;
- upptäcka förekomsten av felsökningsprogram som används i analysen av skadliga filer;
- stänga av systemet om program för att analysera skadliga filer hittas;
- ta bort filer från lokala enheter;
- ta skärmdumpar;
- inaktivera säkerhetsåtgärder i Microsoft Office-produkter.
Vid något tillfälle gjorde angriparna ett misstag och forskare från ReaQta lyckades få tag i den slutliga IP-adressen, som fanns i Teheran. Med tanke på de mål som attackerades av gruppen, såväl som dess mål relaterade till cyberspionage, har experter föreslagit att gruppen företräder den iranska regeringens intressen.
AttackindikatorerC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
filer:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Turkiet under attack
Den 10 april 2019 upptäckte Group-IB-specialister en läcka av postadresser till det turkiska företaget ASELSAN A.Ş, det största företaget inom militärelektronik i Turkiet. Dess produkter inkluderar radar och elektronik, elektrooptik, flygelektronik, obemannade system, land-, sjö-, vapen- och luftförsvarssystem.
Group-IB-experter studerade ett av de nya proverna av POWERSTATS skadlig programvara och fastställde att MuddyWater-gruppen av angripare använde ett licensavtal mellan Koç Savunma, ett företag som producerar lösningar inom informations- och försvarsteknik, och Tubitak Bilgem som ett betesdokument. , ett forskningscenter för informationssäkerhet och avancerad teknik. Kontaktperson för Koç Savunma var Tahir Taner Tımış, som innehade befattningen som programchef på Koç Bilgi ve Savunma Teknolojileri A.Ş. från september 2013 till december 2018. Senare började han arbeta på ASELSAN A.Ş.
Exempel på lockbetedokument
Efter att användaren aktiverat skadliga makron laddas POWERSTATS-bakdörren ner till offrets dator.
Tack vare metadata för detta lockbetedokument (MD5: 0638adf8fb4095d60fbef190a759aa9e) forskare kunde hitta ytterligare tre prov som innehöll identiska värden, inklusive datum och tid för skapandet, användarnamn och en lista över makron som innehöll:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Skärmdump av identiska metadata av olika lockdokument
Ett av de upptäckta dokumenten med namnet ListOfHackedEmails.doc innehåller en lista med 34 e-postadresser som tillhör domänen @aselsan.com.tr.
Group-IB-specialister kontrollerade e-postadresser i allmänt tillgängliga läckor och fann att 28 av dem äventyrades i tidigare upptäckta läckor. Att kontrollera blandningen av tillgängliga läckor visade cirka 400 unika inloggningar associerade med denna domän och lösenord för dem. Det är möjligt att angripare använde denna allmänt tillgängliga data för att attackera ASELSAN A.Ş.
Skärmdump av dokumentet ListOfHackedEmails.doc
Skärmdump av en lista med mer än 450 upptäckta inloggningslösenordspar i offentliga läckor
Bland de upptäckta proverna fanns också ett dokument med titeln F35-Specifications.doc, med hänvisning till stridsflygplanet F-35. Betesdokumentet är en specifikation för F-35 flerrollsjaktbombplan, som anger flygplanets egenskaper och pris. Ämnet för detta lockbetedokument är direkt relaterat till USA:s vägran att leverera F-35 efter Turkiets köp av S-400-systemen och hotet om att överföra information om F-35 Lightning II till Ryssland.
Alla data som mottogs tydde på att huvudmålen för MuddyWater cyberattacker var organisationer i Turkiet.
Vilka är Gladiyator_CRK och Nima Nikjoo?
Tidigare, i mars 2019, upptäcktes skadliga dokument skapade av en Windows-användare under smeknamnet Gladiyator_CRK. Dessa dokument distribuerade även POWERSTATS-bakdörren och kopplade till en C&C-server med liknande namn gladiyator[.]tk.
Detta kan ha gjorts efter att användaren Nima Nikjoo postade på Twitter den 14 mars 2019 i ett försök att avkoda obfuskerad kod associerad med MuddyWater. I kommentarerna till denna tweet sa forskaren att han inte kunde dela indikatorer på kompromiss för denna skadliga programvara, eftersom denna information är konfidentiell. Tyvärr har inlägget redan raderats, men spår av det finns kvar på nätet:
Nima Nikjoo är ägare till Gladiyator_CRK-profilen på de iranska videovärdsajterna dideo.ir och videoi.ir. På den här webbplatsen demonstrerar han PoC-exploater för att inaktivera antivirusverktyg från olika leverantörer och kringgå sandlådor. Nima Nikjoo skriver om sig själv att han är en nätverkssäkerhetsspecialist, samt en reverse engineer och malware-analytiker som arbetar för MTN Irancell, ett iranskt telekommunikationsföretag.
Skärmdump av sparade videor i Googles sökresultat:
Senare, den 19 mars 2019, ändrade användaren Nima Nikjoo på det sociala nätverket Twitter sitt smeknamn till Malware Fighter och tog även bort relaterade inlägg och kommentarer. Profilen för Gladiyator_CRK på videohotellet dideo.ir raderades också, vilket var fallet på YouTube, och själva profilen döptes om till N Tabrizi. Men nästan en månad senare (16 april 2019) började Twitter-kontot använda namnet Nima Nikjoo igen.
Under studien upptäckte Group-IB-specialister att Nima Nikjoo redan hade nämnts i samband med cyberkriminella aktiviteter. I augusti 2014 publicerade Iran Khabarestan-bloggen information om individer associerade med den cyberkriminella gruppen Iranian Nasr Institute. En FireEye-undersökning uppgav att Nasr Institute var en entreprenör för APT33 och även var inblandad i DDoS-attacker på amerikanska banker mellan 2011 och 2013 som en del av en kampanj kallad Operation Ababil.
Så i samma blogg nämndes Nima Nikju-Nikjoo, som utvecklade skadlig programvara för att spionera på iranier, och hans e-postadress: gladiyator_cracker@yahoo[.]com.
Skärmdump av data som tillskrivs cyberkriminella från Iranian Nasr Institute:
Översättning av den markerade texten till ryska: Nima Nikio - Spionprogramutvecklare - E-post:.
Som framgår av denna information är e-postadressen associerad med adressen som användes vid attackerna och användarna Gladiyator_CRK och Nima Nikjoo.
Dessutom angav artikeln den 15 juni 2017 att Nikjoo var något slarvig när han publicerade referenser till Kavosh Security Center på sitt CV. Äta att Kavosh Security Center får stöd av den iranska staten för att finansiera regeringsvänliga hackare.
Information om företaget där Nima Nikjoo arbetade:
Twitter-användaren Nima Nikjoos LinkedIn-profil listar hans första anställning som Kavosh Security Center, där han arbetade från 2006 till 2014. Under sitt arbete studerade han olika skadliga program, och sysslade även med omvänd och obfuskeringsrelaterat arbete.
Information om företaget Nima Nikjoo arbetade för på LinkedIn:
MuddyWater och hög självkänsla
Det är märkligt att MuddyWater-gruppen noggrant övervakar alla rapporter och meddelanden från informationssäkerhetsexperter som publiceras om dem, och till och med medvetet lämnade falska flaggor i början för att kasta bort forskare från doften. Till exempel vilseledde deras första attacker experter genom att upptäcka användningen av DNS Messenger, som vanligtvis var förknippad med FIN7-gruppen. I andra attacker infogade de kinesiska strängar i koden.
Dessutom älskar gruppen att lämna meddelanden till forskare. Till exempel gillade de inte att Kaspersky Lab placerade MuddyWater på 3:e plats i sitt hotbetyg för året. I samma ögonblick laddade någon - antagligen MuddyWater-gruppen - upp en PoC av en exploit till YouTube som inaktiverar LK-antivirus. De lämnade också en kommentar under artikeln.
Skärmdumpar av videon om att inaktivera Kaspersky Lab antivirus och kommentaren nedan:
Det är fortfarande svårt att dra en entydig slutsats om "Nima Nikjoos inblandning". Group-IB-experter överväger två versioner. Nima Nikjoo kan verkligen vara en hacker från MuddyWater-gruppen, som kom fram på grund av sin försumlighet och ökade aktivitet på nätverket. Det andra alternativet är att han medvetet "avslöjades" av andra medlemmar i gruppen för att avleda misstankar från dem själva. I alla fall fortsätter Group-IB sin forskning och kommer definitivt att rapportera sina resultat.
När det gäller iranska APT:er, efter en rad läckor och läckor, kommer de troligen att möta en allvarlig "debriefing" - hackare kommer att tvingas att på allvar ändra sina verktyg, rensa upp sina spår och hitta möjliga "molar" i deras led. Experter uteslöt inte att de ens skulle ta en timeout, men efter en kort paus fortsatte de iranska APT-attackerna igen.
Källa: will.com