Wadukuzi wa Iran wanaoiunga mkono serikali wako katika matatizo makubwa. Katika majira ya kuchipua, watu wasiojulikana walichapisha "uvujaji wa siri" kwenye Telegraph - habari kuhusu vikundi vya APT vinavyohusishwa na serikali ya Irani - OilRig ΠΈ MuddyWater - zana zao, wahasiriwa, viunganisho. Lakini si kuhusu kila mtu. Mnamo Aprili, wataalamu wa Kundi-IB waligundua uvujaji wa anwani za barua za shirika la Kituruki ASELSAN A.Ε, ambalo hutoa redio za kijeshi za busara na mifumo ya ulinzi ya kielektroniki kwa vikosi vya jeshi la Uturuki. Anastasia Tikhonova, Kiongozi wa Timu ya Utafiti wa Tishio la Juu la Kundi-IB, na Nikita Rostovtsev, mchambuzi mdogo katika Group-IB, alielezea mwenendo wa shambulio la ASELSAN A.Ε na kupata mshiriki anayewezekana. MuddyWater.
Mwangaza kupitia Telegram
Uvujaji wa vikundi vya APT vya Irani ulianza na ukweli kwamba Lab Doukhtegan fulani misimbo ya chanzo ya zana sita za APT34 (yajulikanayo kama OilRig na HelixKitten), ilifichua anwani za IP na vikoa vinavyohusika katika shughuli hiyo, pamoja na data kuhusu wahasiriwa 66 wa wavamizi, ikiwa ni pamoja na Shirika la Ndege la Etihad na Emirates National Oil. Lab Doookhtegan pia ilifichua data kuhusu operesheni za siku za nyuma za kundi hilo na taarifa kuhusu wafanyakazi wa Wizara ya Habari ya Iran na Usalama wa Taifa wanaodaiwa kuhusishwa na operesheni za kundi hilo. OilRig ni kundi la APT lenye uhusiano na Iran ambalo limekuwepo tangu mwaka wa 2014 na linalenga serikali, mashirika ya fedha na kijeshi, pamoja na makampuni ya nishati na mawasiliano ya simu katika Mashariki ya Kati na China.
Baada ya OilRig kufichuliwa, uvujaji uliendelea - habari kuhusu shughuli za kundi lingine linalounga mkono serikali kutoka Iran, MuddyWater, zilionekana kwenye mtandao wa giza na kwenye Telegraph. Walakini, tofauti na uvujaji wa kwanza, wakati huu haikuwa nambari za chanzo ambazo zilichapishwa, lakini utupaji, pamoja na picha za skrini za nambari za chanzo, seva za kudhibiti, na anwani za IP za wahasiriwa wa zamani wa wadukuzi. Wakati huu, wadukuzi wa Green Leakers walichukua jukumu la kuvuja kuhusu MuddyWater. Wanamiliki chaneli kadhaa za Telegraph na tovuti za darknet ambapo wanatangaza na kuuza data inayohusiana na shughuli za MuddyWater.
Wapelelezi wa mtandao kutoka Mashariki ya Kati
MuddyWater ni kundi ambalo limekuwa likifanya kazi tangu 2017 huko Mashariki ya Kati. Kwa mfano, kama wataalam wa Kundi-IB wanavyoona, kuanzia Februari hadi Aprili 2019, wavamizi walituma barua pepe nyingi za hadaa zilizolenga serikali, mashirika ya elimu, kifedha, mawasiliano na kampuni za ulinzi nchini Uturuki, Iran, Afghanistan, Iraqi na Azabajani.
Wanakikundi hutumia mlango wa nyuma wa maendeleo yao wenyewe kulingana na PowerShell, ambayo inaitwa POWERSTATS. Anaweza:
- kukusanya data kuhusu akaunti za ndani na za kikoa, seva za faili zinazopatikana, anwani za IP za ndani na nje, jina na usanifu wa OS;
- fanya utekelezaji wa nambari ya mbali;
- pakia na kupakua faili kupitia C&C;
- kugundua uwepo wa programu za kurekebisha zinazotumiwa katika uchambuzi wa faili mbaya;
- funga mfumo ikiwa programu za kuchambua faili mbaya zinapatikana;
- futa faili kutoka kwa anatoa za ndani;
- chukua picha za skrini;
- zima hatua za usalama katika bidhaa za Microsoft Office.
Wakati fulani, washambuliaji walifanya makosa na watafiti kutoka ReaQta walifanikiwa kupata anwani ya mwisho ya IP, iliyokuwa Tehran. Kwa kuzingatia shabaha zinazoshambuliwa na kundi hilo, pamoja na malengo yake kuhusiana na ujasusi wa mtandaoni, wataalamu wamependekeza kuwa kundi hilo linawakilisha maslahi ya serikali ya Iran.
Viashiria vya mashambuliziC&C:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Mafaili:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
TΓΌrkiye chini ya mashambulizi
Mnamo Aprili 10, 2019, wataalamu wa Kundi-IB waligundua uvujaji wa anwani za barua za kampuni ya Kituruki ya ASELSAN A.Ε, kampuni kubwa zaidi katika uwanja wa vifaa vya elektroniki vya kijeshi nchini Uturuki. Bidhaa zake ni pamoja na rada na vifaa vya elektroniki, macho ya kielektroniki, anga, mifumo isiyo na rubani, ardhi, majini, silaha na mifumo ya ulinzi wa anga.
Wakichunguza mojawapo ya sampuli mpya za programu hasidi ya POWERSTATS, wataalam wa Kundi-IB waliamua kwamba kikundi cha washambuliaji cha MuddyWater kilitumia kama hati ya chambo makubaliano ya leseni kati ya KoΓ§ Savunma, kampuni inayozalisha suluhu katika uwanja wa teknolojia ya habari na ulinzi, na Tubitak Bilgem. , kituo cha utafiti wa usalama wa habari na teknolojia za hali ya juu. Mtu aliyewasiliana naye kwa KoΓ§ Savunma alikuwa Tahir Taner TΔ±mΔ±Ε, ambaye alishikilia wadhifa wa Meneja wa Programu katika KoΓ§ Bilgi ve Savunma Teknolojileri A.Ε. kutoka Septemba 2013 hadi Desemba 2018. Baadaye alianza kufanya kazi katika ASELSAN A.Ε.
Sampuli ya hati ya kudanganya
Baada ya mtumiaji kuwezesha macros hasidi, mlango wa nyuma wa POWERSTATS hupakuliwa kwa kompyuta ya mwathirika.
Shukrani kwa metadata ya hati hii ya udanganyifu (MD5: 0638adf8fb4095d60fbef190a759aa9e) watafiti waliweza kupata sampuli tatu za ziada zilizo na thamani zinazofanana, ikiwa ni pamoja na tarehe na wakati wa kuundwa, jina la mtumiaji, na orodha ya macros zilizomo:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Picha ya skrini ya metadata inayofanana ya hati mbalimbali za udanganyifu
Moja ya hati zilizogunduliwa zenye jina ListOfHackedEmails.doc ina orodha ya barua pepe 34 za kikoa @aselsan.com.tr.
Wataalamu wa Kundi-IB walikagua anwani za barua pepe katika uvujaji unaopatikana kwa umma na wakagundua kuwa 28 kati yao ziliathiriwa katika uvujaji uliogunduliwa hapo awali. Kukagua mchanganyiko wa uvujaji unaopatikana kulionyesha takriban logi 400 za kipekee zinazohusishwa na kikoa hiki na manenosiri kwao. Inawezekana kwamba wavamizi walitumia data hii inayopatikana kwa umma kushambulia ASELSAN A.Ε.
Picha ya skrini ya hati ListOfHackedEmails.doc
Picha ya skrini ya orodha ya zaidi ya jozi 450 za nenosiri la kuingia katika uvujaji wa umma.
Miongoni mwa sampuli zilizogunduliwa pia kulikuwa na hati yenye kichwa F35-Specifications.doc, akimaanisha ndege ya kivita ya F-35. Hati ya chambo ni maelezo ya mshambuliaji wa aina mbalimbali wa F-35, inayoonyesha sifa na bei ya ndege. Mada ya hati hii ya udanganyifu inahusiana moja kwa moja na kukataa kwa Amerika kusambaza F-35 baada ya ununuzi wa Uturuki wa mifumo ya S-400 na tishio la kuhamisha habari kuhusu F-35 Umeme II hadi Urusi.
Data zote zilizopokelewa zilionyesha kuwa walengwa wakuu wa mashambulio ya mtandao ya MuddyWater walikuwa mashirika yaliyoko Uturuki.
Gladiyator_CRK na Nima Nikjoo ni akina nani?
Hapo awali, mnamo Machi 2019, hati hasidi ziligunduliwa iliyoundwa na mtumiaji mmoja wa Windows chini ya jina la utani la Gladiyator_CRK. Hati hizi pia zilisambaza mlango wa nyuma wa POWERSTATS na kuunganishwa kwa seva ya C&C yenye jina sawa gladiator[.]tk.
Huenda hili lilifanyika baada ya mtumiaji Nima Nikjoo kuchapisha kwenye Twitter mnamo Machi 14, 2019, akijaribu kusimbua msimbo uliofichwa unaohusishwa na MuddyWater. Katika maoni kwenye tweet hii, mtafiti alisema kwamba hangeweza kushiriki viashiria vya maelewano kwa programu hasidi, kwani habari hii ni ya siri. Kwa bahati mbaya, chapisho tayari limefutwa, lakini athari zake zimesalia mtandaoni:
Nima Nikjoo ndiye mmiliki wa wasifu wa Gladiyator_CRK kwenye tovuti za kupangisha video za Irani dideo.ir na videoi.ir. Kwenye tovuti hii, anaonyesha ushujaa wa PoC kuzima zana za antivirus kutoka kwa wachuuzi mbalimbali na sanduku za mchanga za kupita. Nima Nikjoo anaandika kujihusu kuwa yeye ni mtaalamu wa usalama wa mtandao, vilevile ni mhandisi wa nyuma na mchambuzi wa programu hasidi ambaye anafanya kazi kwa MTN Irancell, kampuni ya mawasiliano ya Iran.
Picha ya skrini ya video zilizohifadhiwa katika matokeo ya utafutaji wa Google:
Baadaye, Machi 19, 2019, mtumiaji Nima Nikjoo kwenye mtandao wa kijamii wa Twitter alibadilisha jina lake la utani kuwa Malware Fighter, na pia akafuta machapisho na maoni yanayohusiana. Wasifu wa Gladiyator_CRK kwenye mpangishaji video wa dideo.ir pia ulifutwa, kama ilivyokuwa kwenye YouTube, na wasifu wenyewe ulibadilishwa jina na kuitwa N Tabrizi. Walakini, karibu mwezi mmoja baadaye (Aprili 16, 2019), akaunti ya Twitter ilianza kutumia jina la Nima Nikjoo tena.
Wakati wa utafiti huo, wataalamu wa Kundi-IB waligundua kuwa Nima Nikjoo alikuwa tayari ametajwa kuhusiana na shughuli za uhalifu mtandaoni. Mnamo Agosti 2014, blogu ya Iran Khabarestan ilichapisha habari kuhusu watu wanaohusishwa na kikundi cha wahalifu wa mtandao Taasisi ya Iranian Nasr. Uchunguzi mmoja wa FireEye ulisema kuwa Taasisi ya Nasr ilikuwa mkandarasi wa APT33 na pia ilihusika katika mashambulizi ya DDoS kwenye benki za Marekani kati ya 2011 na 2013 kama sehemu ya kampeni inayoitwa Operesheni Ababil.
Kwa hivyo katika blogu hiyo hiyo, Nima Nikju-Nikjoo alitajwa, ambaye alikuwa akitengeneza programu hasidi ili kuwapeleleza Wairani, na barua pepe yake: gladiyator_cracker@yahoo[.]com.
Picha ya skrini ya data inayohusishwa na wahalifu wa mtandao kutoka Taasisi ya Nasr ya Iran:
Tafsiri ya maandishi yaliyoangaziwa kwa Kirusi: Nima Nikio - Msanidi Programu wa Upelelezi - Barua pepe:.
Kama inavyoonekana kutoka kwa maelezo haya, anwani ya barua pepe inahusishwa na anwani iliyotumiwa katika mashambulizi na watumiaji Gladiyator_CRK na Nima Nikjoo.
Zaidi ya hayo, makala ya Juni 15, 2017 ilisema kwamba Nikjoo hakuwa mwangalifu kwa kiasi fulani katika kuchapisha marejeleo ya Kituo cha Usalama cha Kavosh kwenye wasifu wake. Kula kwamba Kituo cha Usalama cha Kavosh kinaungwa mkono na taifa la Iran kufadhili wadukuzi wanaoiunga mkono serikali.
Habari kuhusu kampuni ambayo Nima Nikjoo alifanya kazi:
Wasifu wa LinkedIn wa mtumiaji wa Twitter Nima Nikjoo unaorodhesha nafasi yake ya kwanza ya kuajiriwa kama Kituo cha Usalama cha Kavosh, ambapo alifanya kazi kutoka 2006 hadi 2014. Wakati wa kazi yake, alisoma programu hasidi mbalimbali, na pia alishughulika na kazi inayohusiana na reverse na obfuscation.
Habari kuhusu kampuni ambayo Nima Nikjoo aliifanyia kazi kwenye LinkedIn:
MuddyWater na kujithamini sana
Inashangaza kwamba kikundi cha MuddyWater kinafuatilia kwa uangalifu ripoti na jumbe zote kutoka kwa wataalam wa usalama wa habari zilizochapishwa kuzihusu, na hata kwa makusudi waliacha bendera za uwongo mwanzoni ili kuwatupilia mbali watafiti harufu hiyo. Kwa mfano, mashambulizi yao ya kwanza yaliwapotosha wataalam kwa kugundua matumizi ya DNS Messenger, ambayo mara nyingi yalihusishwa na kundi la FIN7. Katika mashambulizi mengine, waliingiza masharti ya Kichina kwenye msimbo.
Kwa kuongeza, kikundi kinapenda kuacha ujumbe kwa watafiti. Kwa mfano, hawakupenda kwamba Kaspersky Lab iliweka MuddyWater katika nafasi ya 3 katika rating yake ya tishio kwa mwaka. Wakati huo huo, mtu fulani - labda kikundi cha MuddyWater - alipakia PoC ya unyonyaji kwenye YouTube ambayo inalemaza antivirus ya LK. Pia waliacha maoni chini ya kifungu hicho.
Picha za skrini za video juu ya kulemaza antivirus ya Kaspersky Lab na maoni hapa chini:
Bado ni ngumu kufanya hitimisho lisilo na utata juu ya ushiriki wa "Nima Nikjoo". Wataalam wa Kundi-IB wanazingatia matoleo mawili. Nima Nikjoo, kwa hakika, anaweza kuwa hacker kutoka kundi la MuddyWater, ambaye alikuja kujulikana kutokana na uzembe wake na kuongezeka kwa shughuli kwenye mtandao. Chaguo la pili ni kwamba "alifichuliwa" kwa makusudi na wanachama wengine wa kikundi ili kugeuza tuhuma kutoka kwao wenyewe. Kwa vyovyote vile, Group-IB inaendelea na utafiti wake na bila shaka itaripoti matokeo yake.
Kuhusu APT za Irani, baada ya mfululizo wa uvujaji na uvujaji, pengine zitakabiliwa na "majadiliano" mazito - wadukuzi watalazimika kubadilisha zana zao kwa umakini, kusafisha nyimbo zao na kutafuta "fuko" zinazowezekana katika safu zao. Wataalam hawakukataa kwamba wangechukua muda, lakini baada ya mapumziko mafupi, mashambulizi ya APT ya Irani yaliendelea tena.
Chanzo: mapenzi.com