ఇరాన్ అనుకూల ప్రభుత్వ హ్యాకర్లు పెద్ద ఇబ్బందుల్లో ఉన్నారు. వసంతకాలం అంతా, తెలియని వ్యక్తులు టెలిగ్రామ్లో "రహస్య లీక్లు" ప్రచురించారు - ఇరాన్ ప్రభుత్వంతో అనుబంధించబడిన APT సమూహాల గురించి సమాచారం - చమురు తోడు పరికరము и బురద నీరు - వారి సాధనాలు, బాధితులు, కనెక్షన్లు. కానీ అందరి గురించి కాదు. ఏప్రిల్లో, గ్రూప్-IB నిపుణులు టర్కిష్ కార్పోరేషన్ ASELSAN A.Ş యొక్క మెయిలింగ్ చిరునామాల లీక్ను కనుగొన్నారు, ఇది టర్కిష్ సాయుధ దళాల కోసం వ్యూహాత్మక సైనిక రేడియోలు మరియు ఎలక్ట్రానిక్ రక్షణ వ్యవస్థలను ఉత్పత్తి చేస్తుంది. అనస్తాసియా టిఖోనోవా, గ్రూప్-IB అడ్వాన్స్డ్ థ్రెట్ రీసెర్చ్ టీమ్ లీడర్, మరియు నికితా రోస్టోవ్ట్సేవ్, గ్రూప్-IBలోని జూనియర్ విశ్లేషకుడు, ASELSAN A.Şపై దాడి జరిగిన తీరును వివరించాడు మరియు సంభావ్య భాగస్వామిని కనుగొన్నాడు బురద నీరు.
టెలిగ్రామ్ ద్వారా ప్రకాశం
ఇరానియన్ APT సమూహాల లీక్ ఒక నిర్దిష్ట ల్యాబ్ Doukhtegan వాస్తవంతో ప్రారంభమైంది ఆరు APT34 సాధనాల సోర్స్ కోడ్లు (ఆయిల్రిగ్ మరియు హెలిక్స్కిటెన్), కార్యకలాపాలలో పాల్గొన్న IP చిరునామాలు మరియు డొమైన్లు, అలాగే ఎతిహాద్ ఎయిర్వేస్ మరియు ఎమిరేట్స్ నేషనల్ ఆయిల్తో సహా 66 మంది హ్యాకర్ల బాధితుల డేటాను బహిర్గతం చేసింది. ల్యాబ్ దూఖ్తెగాన్ గ్రూప్ యొక్క గత కార్యకలాపాల గురించి మరియు గ్రూప్ కార్యకలాపాలతో సంబంధం కలిగి ఉన్న ఇరాన్ సమాచార మరియు జాతీయ భద్రతా మంత్రిత్వ శాఖ ఉద్యోగుల గురించి సమాచారాన్ని కూడా లీక్ చేసింది. ఆయిల్రిగ్ అనేది ఇరాన్-అనుసంధానిత APT సమూహం, ఇది 2014 నుండి ఉనికిలో ఉంది మరియు మధ్యప్రాచ్యం మరియు చైనాలోని ప్రభుత్వం, ఆర్థిక మరియు సైనిక సంస్థలు, అలాగే శక్తి మరియు టెలికమ్యూనికేషన్ కంపెనీలను లక్ష్యంగా చేసుకుంటుంది.
ఆయిల్రిగ్ బహిర్గతం అయిన తర్వాత, లీక్లు కొనసాగాయి - ఇరాన్కు చెందిన మరొక ప్రో-స్టేట్ గ్రూప్, మడ్డీవాటర్ కార్యకలాపాల గురించి సమాచారం డార్క్నెట్ మరియు టెలిగ్రామ్లో కనిపించింది. అయితే, మొదటి లీక్ కాకుండా, ఈసారి ప్రచురించబడిన సోర్స్ కోడ్లు కాదు, సోర్స్ కోడ్ల స్క్రీన్షాట్లు, కంట్రోల్ సర్వర్లు, అలాగే హ్యాకర్ల గత బాధితుల IP చిరునామాలతో సహా డంప్లు ప్రచురించబడ్డాయి. ఈసారి, గ్రీన్ లీకర్స్ హ్యాకర్లు మడ్డీవాటర్ గురించి లీక్కు బాధ్యత వహించారు. వారు అనేక టెలిగ్రామ్ ఛానెల్లు మరియు డార్క్నెట్ సైట్లను కలిగి ఉన్నారు, అక్కడ వారు మడ్డీవాటర్ కార్యకలాపాలకు సంబంధించిన డేటాను ప్రచారం చేస్తారు మరియు విక్రయిస్తారు.
మిడిల్ ఈస్ట్ నుండి సైబర్ గూఢచారులు
బురద నీరు మధ్యప్రాచ్యంలో 2017 నుండి క్రియాశీలంగా ఉన్న సమూహం. ఉదాహరణకు, గ్రూప్-IB నిపుణులు గమనించినట్లుగా, ఫిబ్రవరి నుండి ఏప్రిల్ 2019 వరకు, టర్కీ, ఇరాన్, ఆఫ్ఘనిస్తాన్, ఇరాక్ మరియు అజర్బైజాన్లోని ప్రభుత్వం, విద్యా సంస్థలు, ఆర్థిక, టెలికమ్యూనికేషన్స్ మరియు రక్షణ కంపెనీలను లక్ష్యంగా చేసుకుని హ్యాకర్లు ఫిషింగ్ మెయిలింగ్ల శ్రేణిని చేపట్టారు.
సమూహ సభ్యులు పవర్షెల్ ఆధారంగా వారి స్వంత అభివృద్ధి యొక్క బ్యాక్డోర్ను ఉపయోగిస్తారు, దీనిని అంటారు పవర్స్టాట్స్. అతడు చేయగలడు:
- స్థానిక మరియు డొమైన్ ఖాతాలు, అందుబాటులో ఉన్న ఫైల్ సర్వర్లు, అంతర్గత మరియు బాహ్య IP చిరునామాలు, పేరు మరియు OS ఆర్కిటెక్చర్ గురించి డేటాను సేకరించండి;
- రిమోట్ కోడ్ అమలును నిర్వహించండి;
- C&C ద్వారా ఫైల్లను అప్లోడ్ చేయండి మరియు డౌన్లోడ్ చేయండి;
- హానికరమైన ఫైళ్ల విశ్లేషణలో ఉపయోగించే డీబగ్గింగ్ ప్రోగ్రామ్ల ఉనికిని గుర్తించడం;
- హానికరమైన ఫైళ్లను విశ్లేషించే ప్రోగ్రామ్లు కనుగొనబడితే సిస్టమ్ను మూసివేయండి;
- స్థానిక డ్రైవ్ల నుండి ఫైల్లను తొలగించండి;
- స్క్రీన్షాట్లను తీసుకోండి;
- Microsoft Office ఉత్పత్తులలో భద్రతా చర్యలను నిలిపివేయండి.
ఏదో ఒక సమయంలో, దాడి చేసినవారు పొరపాటు చేసారు మరియు ReaQta నుండి పరిశోధకులు టెహ్రాన్లో ఉన్న తుది IP చిరునామాను పొందగలిగారు. సమూహం దాడి చేసిన లక్ష్యాలను, అలాగే సైబర్ గూఢచర్యానికి సంబంధించిన దాని లక్ష్యాలను దృష్టిలో ఉంచుకుని, ఈ బృందం ఇరాన్ ప్రభుత్వ ప్రయోజనాలకు ప్రాతినిధ్యం వహిస్తుందని నిపుణులు సూచించారు.
దాడి సూచికలుC&C:
- గ్లాడియేటర్[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
ఫైళ్లు:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Türkiye దాడిలో ఉంది
ఏప్రిల్ 10, 2019న, గ్రూప్-IB నిపుణులు టర్కీలోని మిలిటరీ ఎలక్ట్రానిక్స్ రంగంలో అతిపెద్ద కంపెనీ అయిన టర్కీ కంపెనీ ASELSAN A.Ş యొక్క మెయిలింగ్ చిరునామాల లీక్ను కనుగొన్నారు. దీని ఉత్పత్తులలో రాడార్ మరియు ఎలక్ట్రానిక్స్, ఎలక్ట్రో-ఆప్టిక్స్, ఏవియానిక్స్, మానవరహిత వ్యవస్థలు, భూమి, నౌకాదళం, ఆయుధాలు మరియు వాయు రక్షణ వ్యవస్థలు ఉన్నాయి.
POWERSTATS మాల్వేర్ యొక్క కొత్త నమూనాలలో ఒకదానిని అధ్యయనం చేస్తూ, గ్రూప్-IB నిపుణులు దాడి చేసేవారి యొక్క MuddyWater సమూహం Koç Savunma, సమాచార మరియు రక్షణ సాంకేతిక రంగంలో పరిష్కారాలను ఉత్పత్తి చేసే సంస్థ మరియు Tubitak Bilgem మధ్య లైసెన్స్ ఒప్పందాన్ని ఎరగా ఉపయోగించినట్లు నిర్ధారించారు. , సమాచార భద్రతా పరిశోధన కేంద్రం మరియు అధునాతన సాంకేతికతలు. Koç Savunma కోసం సంప్రదింపు వ్యక్తి తాహిర్ Taner Tımış, అతను Koç Bilgi ve Savunma Teknolojileri A.Şలో ప్రోగ్రామ్ల మేనేజర్గా ఉన్నారు. సెప్టెంబర్ 2013 నుండి డిసెంబర్ 2018 వరకు తరువాత అతను ASELSAN A.Şలో పని చేయడం ప్రారంభించాడు.
నమూనా డికాయ్ డాక్యుమెంట్
వినియోగదారు హానికరమైన మాక్రోలను సక్రియం చేసిన తర్వాత, POWERSTATS బ్యాక్డోర్ బాధితుని కంప్యూటర్కు డౌన్లోడ్ చేయబడుతుంది.
ఈ డికోయ్ డాక్యుమెంట్ మెటాడేటాకు ధన్యవాదాలు (MD5: 0638adf8fb4095d60fbef190a759aa9e) పరిశోధకులు సృష్టించిన తేదీ మరియు సమయం, వినియోగదారు పేరు మరియు మాక్రోల జాబితాతో సహా ఒకే విలువలను కలిగి ఉన్న మూడు అదనపు నమూనాలను కనుగొనగలిగారు:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
వివిధ డికోయ్ డాక్యుమెంట్ల యొక్క ఒకేలాంటి మెటాడేటా యొక్క స్క్రీన్షాట్
పేరుతో కనుగొనబడిన పత్రాలలో ఒకటి ListOfHackedEmails.doc డొమైన్కు చెందిన 34 ఇమెయిల్ చిరునామాల జాబితాను కలిగి ఉంది @aselsan.com.tr.
గ్రూప్-IB నిపుణులు పబ్లిక్గా అందుబాటులో ఉన్న లీక్లలో ఇమెయిల్ చిరునామాలను తనిఖీ చేసారు మరియు వాటిలో 28 గతంలో కనుగొన్న లీక్లలో రాజీ పడ్డాయని కనుగొన్నారు. అందుబాటులో ఉన్న లీక్ల మిశ్రమాన్ని తనిఖీ చేయడం ద్వారా ఈ డొమైన్తో అనుబంధించబడిన సుమారు 400 ప్రత్యేక లాగిన్లు మరియు వాటి కోసం పాస్వర్డ్లు కనిపించాయి. ASELSAN A.Şపై దాడి చేయడానికి దాడి చేసేవారు ఈ పబ్లిక్గా అందుబాటులో ఉన్న డేటాను ఉపయోగించే అవకాశం ఉంది.
ListOfHackedEmails.doc పత్రం యొక్క స్క్రీన్షాట్
పబ్లిక్ లీక్లలో గుర్తించబడిన 450 కంటే ఎక్కువ లాగిన్-పాస్వర్డ్ జతల జాబితా యొక్క స్క్రీన్షాట్
కనుగొనబడిన నమూనాలలో టైటిల్తో కూడిన పత్రం కూడా ఉంది F35-Specifications.doc, F-35 ఫైటర్ జెట్ను సూచిస్తోంది. బైట్ డాక్యుమెంట్ అనేది F-35 మల్టీ-రోల్ ఫైటర్-బాంబర్ యొక్క స్పెసిఫికేషన్, ఇది విమానం యొక్క లక్షణాలు మరియు ధరను సూచిస్తుంది. టర్కీ S-35 వ్యవస్థలను కొనుగోలు చేసిన తర్వాత F-400లను సరఫరా చేయడానికి US నిరాకరించడం మరియు F-35 మెరుపు II గురించి సమాచారాన్ని రష్యాకు బదిలీ చేసే ముప్పుతో ఈ డికోయ్ డాక్యుమెంట్ యొక్క అంశం నేరుగా సంబంధించినది.
అందుకున్న మొత్తం డేటా మడ్డీవాటర్ సైబర్ దాడుల యొక్క ప్రధాన లక్ష్యాలు టర్కీలో ఉన్న సంస్థలు అని సూచించింది.
గ్లాడియేటర్_CRK మరియు నిమా నిక్జూ ఎవరు?
అంతకుముందు, మార్చి 2019లో, Gladiyator_CRK అనే మారుపేరుతో ఒక Windows వినియోగదారు సృష్టించిన హానికరమైన పత్రాలు కనుగొనబడ్డాయి. ఈ పత్రాలు POWERSTATS బ్యాక్డోర్ను కూడా పంపిణీ చేశాయి మరియు అదే పేరుతో C&C సర్వర్కి కనెక్ట్ చేయబడ్డాయి గ్లాడియేటర్[.]tk.
వినియోగదారు Nima Nikjoo మార్చి 14, 2019న ట్విట్టర్లో పోస్ట్ చేసిన తర్వాత, MuddyWaterతో అనుబంధించబడిన అస్పష్టమైన కోడ్ను డీకోడ్ చేయడానికి ప్రయత్నించిన తర్వాత ఇది జరిగి ఉండవచ్చు. ఈ ట్వీట్కు చేసిన వ్యాఖ్యలలో, ఈ సమాచారం గోప్యంగా ఉన్నందున, ఈ మాల్వేర్ కోసం రాజీ సూచికలను తాను పంచుకోలేనని పరిశోధకుడు చెప్పారు. దురదృష్టవశాత్తూ, పోస్ట్ ఇప్పటికే తొలగించబడింది, కానీ దాని జాడలు ఆన్లైన్లో ఉన్నాయి:
Nima Nikjoo ఇరానియన్ వీడియో హోస్టింగ్ సైట్లు dideo.ir మరియు videoi.irలో Gladiyator_CRK ప్రొఫైల్ యజమాని. ఈ సైట్లో, అతను వివిధ విక్రేతల నుండి యాంటీవైరస్ సాధనాలను నిలిపివేయడానికి మరియు శాండ్బాక్స్లను దాటవేయడానికి PoC దోపిడీని ప్రదర్శించాడు. నిమా నిక్జూ తన గురించి తాను నెట్వర్క్ సెక్యూరిటీ స్పెషలిస్ట్ అని, అలాగే రివర్స్ ఇంజనీర్ మరియు ఇరాన్ టెలికమ్యూనికేషన్స్ కంపెనీ అయిన MTN ఇరాన్సెల్ కోసం పనిచేసే మాల్వేర్ అనలిస్ట్ అని రాసుకుంది.
Google శోధన ఫలితాల్లో సేవ్ చేయబడిన వీడియోల స్క్రీన్షాట్:
తరువాత, మార్చి 19, 2019న, సోషల్ నెట్వర్క్ ట్విట్టర్లోని వినియోగదారు నిమా నిక్జూ తన మారుపేరును మాల్వేర్ ఫైటర్గా మార్చుకున్నారు మరియు సంబంధిత పోస్ట్లు మరియు వ్యాఖ్యలను కూడా తొలగించారు. YouTubeలో జరిగినట్లుగా dideo.ir వీడియో హోస్టింగ్లోని Gladiyator_CRK ప్రొఫైల్ కూడా తొలగించబడింది మరియు ప్రొఫైల్కే N Tabrizi అని పేరు మార్చబడింది. అయితే, దాదాపు ఒక నెల తర్వాత (ఏప్రిల్ 16, 2019), ట్విట్టర్ ఖాతా మళ్లీ నిమా నిక్జూ అనే పేరును ఉపయోగించడం ప్రారంభించింది.
అధ్యయనం సమయంలో, సైబర్ నేర కార్యకలాపాలకు సంబంధించి నిమా నిక్జూ ఇప్పటికే ప్రస్తావించబడిందని గ్రూప్-ఐబి నిపుణులు కనుగొన్నారు. ఆగస్ట్ 2014లో, ఇరాన్ ఖబరేస్తాన్ బ్లాగ్ సైబర్ క్రిమినల్ గ్రూప్ ఇరానియన్ నాస్ర్ ఇన్స్టిట్యూట్తో సంబంధం ఉన్న వ్యక్తుల గురించి సమాచారాన్ని ప్రచురించింది. నాస్ర్ ఇన్స్టిట్యూట్ APT33కి కాంట్రాక్టర్ అని మరియు ఆపరేషన్ అబాబిల్ అనే ప్రచారంలో భాగంగా 2011 మరియు 2013 మధ్య US బ్యాంకులపై DDoS దాడులలో కూడా పాల్గొన్నట్లు ఒక FireEye పరిశోధన పేర్కొంది.
కాబట్టి అదే బ్లాగ్లో, ఇరానియన్లపై గూఢచర్యం చేయడానికి మాల్వేర్ను అభివృద్ధి చేస్తున్న నిమా నిక్జు-నిక్జూ మరియు అతని ఇమెయిల్ చిరునామా: gladiyator_cracker@yahoo[.]com గురించి ప్రస్తావించబడింది.
ఇరానియన్ నాస్ర్ ఇన్స్టిట్యూట్ నుండి సైబర్ నేరగాళ్లకు ఆపాదించబడిన డేటా యొక్క స్క్రీన్ షాట్:
హైలైట్ చేయబడిన వచనం యొక్క రష్యన్ భాషలోకి అనువాదం: నిమా నికియో - స్పైవేర్ డెవలపర్ - ఇమెయిల్:.
ఈ సమాచారం నుండి చూడగలిగినట్లుగా, ఇమెయిల్ చిరునామా దాడులలో ఉపయోగించిన చిరునామా మరియు Gladiyator_CRK మరియు Nima Nima Nikjoo వినియోగదారులతో అనుబంధించబడింది.
అదనంగా, జూన్ 15, 2017 కథనం నిక్జూ తన రెజ్యూమ్లో కవోష్ సెక్యూరిటీ సెంటర్కు సంబంధించిన సూచనలను పోస్ట్ చేయడంలో కొంత నిర్లక్ష్యంగా ఉందని పేర్కొంది. తినండి ప్రభుత్వ అనుకూల హ్యాకర్లకు ఆర్థిక సహాయం చేయడానికి ఇరాన్ రాష్ట్రంచే కవోష్ సెక్యూరిటీ సెంటర్కు మద్దతు ఉంది.
Nima Nikjoo పనిచేసిన కంపెనీ గురించిన సమాచారం:
ట్విట్టర్ వినియోగదారు నిమా నిక్జూ యొక్క లింక్డ్ఇన్ ప్రొఫైల్ అతని మొదటి ఉద్యోగ స్థలాన్ని కవోష్ సెక్యూరిటీ సెంటర్గా పేర్కొంది, ఇక్కడ అతను 2006 నుండి 2014 వరకు పనిచేశాడు. తన పని సమయంలో, అతను వివిధ మాల్వేర్లను అధ్యయనం చేసాడు మరియు రివర్స్ మరియు అస్పష్టత-సంబంధిత పనితో కూడా వ్యవహరించాడు.
లింక్డ్ఇన్లో Nima Nikjoo పనిచేసిన కంపెనీ గురించిన సమాచారం:
మడ్డీ వాటర్ మరియు అధిక ఆత్మగౌరవం
MuddyWater సమూహం వారి గురించి ప్రచురితమైన సమాచార భద్రతా నిపుణుల నుండి అన్ని నివేదికలు మరియు సందేశాలను జాగ్రత్తగా పర్యవేక్షిస్తుంది మరియు పరిశోధకులను సువాసన నుండి దూరం చేయడానికి ఉద్దేశపూర్వకంగా మొదట తప్పుడు జెండాలను వదిలివేయడం ఆసక్తికరంగా ఉంది. ఉదాహరణకు, వారి మొదటి దాడులు సాధారణంగా FIN7 సమూహంతో అనుబంధించబడిన DNS మెసెంజర్ వినియోగాన్ని గుర్తించడం ద్వారా నిపుణులను తప్పుదారి పట్టించాయి. ఇతర దాడులలో, వారు కోడ్లో చైనీస్ తీగలను చొప్పించారు.
అదనంగా, సమూహం పరిశోధకులకు సందేశాలను పంపడానికి ఇష్టపడుతుంది. ఉదాహరణకు, కాస్పెర్స్కీ ల్యాబ్ మడ్డీవాటర్ని సంవత్సరానికి ముప్పు రేటింగ్లో 3వ స్థానంలో ఉంచడం వారికి నచ్చలేదు. అదే సమయంలో, ఎవరో - బహుశా మడ్డీవాటర్ గ్రూప్ - LK యాంటీవైరస్ని నిలిపివేసే దోపిడీకి సంబంధించిన PoCని YouTubeకి అప్లోడ్ చేసారు. వారు కథనం కింద ఒక కామెంట్ కూడా పెట్టారు.
కాస్పెర్స్కీ ల్యాబ్ యాంటీవైరస్ను నిలిపివేయడంపై వీడియో యొక్క స్క్రీన్షాట్లు మరియు దిగువ వ్యాఖ్యానం:
"నిమా నిక్జూ" ప్రమేయం గురించి నిస్సందేహంగా నిర్ధారణ చేయడం ఇప్పటికీ కష్టం. గ్రూప్-ఐబి నిపుణులు రెండు వెర్షన్లను పరిశీలిస్తున్నారు. Nima Nikjoo, నిజానికి, MuddyWater సమూహం నుండి హ్యాకర్ అయి ఉండవచ్చు, అతని నిర్లక్ష్యం మరియు నెట్వర్క్లో పెరిగిన కార్యాచరణ కారణంగా వెలుగులోకి వచ్చింది. రెండవ ఎంపిక ఏమిటంటే, అతను తమపై అనుమానాన్ని మళ్లించడానికి సమూహంలోని ఇతర సభ్యులచే ఉద్దేశపూర్వకంగా "బహిర్గతం" చేయబడ్డాడు. ఏదైనా సందర్భంలో, గ్రూప్-IB దాని పరిశోధనను కొనసాగిస్తుంది మరియు దాని ఫలితాలను ఖచ్చితంగా నివేదిస్తుంది.
ఇరానియన్ APTల విషయానికొస్తే, వరుస లీక్లు మరియు లీక్ల తర్వాత, వారు బహుశా తీవ్రమైన “డిబ్రీఫింగ్” ను ఎదుర్కొంటారు - హ్యాకర్లు తమ సాధనాలను తీవ్రంగా మార్చవలసి వస్తుంది, వారి ట్రాక్లను శుభ్రం చేయాలి మరియు వారి ర్యాంక్లలో సాధ్యమయ్యే “మోల్లను” కనుగొనవలసి ఉంటుంది. నిపుణులు కూడా సమయం ముగిసిపోతుందని తోసిపుచ్చలేదు, కానీ చిన్న విరామం తర్వాత, ఇరాన్ APT దాడులు మళ్లీ కొనసాగాయి.
మూలం: www.habr.com