Обҳои гилолуд: чӣ гуна ҳакерҳо аз MuddyWater ба як истеҳсолкунандаи электроникаи низомии турк ҳамла карданд

Ҳакерҳои тарафдори ҳукумати Эрон дар мушкили бузург қарор доранд. Дар тӯли баҳор афроди ношинос дар Telegram "ифшои махфӣ" - маълумот дар бораи гурӯҳҳои ҲАТ, ки бо ҳукумати Эрон алоқаманданд, нашр карданд - OilRig и Оби лой — асбобҳо, қурбониҳо, робитаҳои онҳо. Аммо на дар бораи ҳама. Моҳи апрел мутахассисони Group-IB фош шудани суроғаҳои почтаи ширкати туркии ASELSAN A.Ş-ро, ки радиоҳои тактикии ҳарбӣ ва системаҳои дифои электронии нерӯҳои мусаллаҳи Туркия истеҳсол мекунад, ошкор карданд. Анастасия Тихонова, Гурӯҳи-IB Advanced Гурӯҳи Таҳқиқоти Таҳдид, ва Никита Ростовцев, таҳлилгари хурди Group-IB, ҷараёни ҳамла ба ASELSAN A.Ş-ро тавсиф кард ва иштирокчии эҳтимолиро пайдо кард Оби лой.

Равшанӣ тавассути Telegram

Ихроҷи гурӯҳҳои APT-и Эрон аз он оғоз шуд, ки як Лаб Духтеган ошкоро кард Рамзҳои сарчашмаи шаш асбоби APT34 (бо номи OilRig ва HelixKitten) суроғаҳои IP ва доменҳои дар амалиёт иштирокдошта, инчунин маълумот дар бораи 66 қурбонии ҳакерҳо, аз ҷумла Etihad Airways ва Emirates National Oil, ошкор карданд. Lab Doookhtegan ҳамчунин маълумот дар бораи амалиёти қаблии ин гурӯҳ ва маълумот дар бораи кормандони Вазорати иттилоот ва амнияти миллии Эронро, ки гӯё бо амалиёти ин гурӯҳ иртибот доранд, ифшо кардааст. OilRig як гурӯҳи APT марбут ба Эрон аст, ки тақрибан аз соли 2014 вуҷуд дорад ва созмонҳои ҳукуматӣ, молӣ ва низомӣ ва ҳамчунин ширкатҳои энержӣ ва мухобиротӣ дар Ховари Миёна ва Чинро ҳадаф қарор медиҳад.

Пас аз фош шудани OilRig, ихроҷҳо идома ёфтанд - маълумот дар бораи фаъолияти як гурӯҳи дигари тарафдори давлат аз Эрон, MuddyWater, дар darknet ва Telegram пайдо шуд. Аммо, ба фарқ аз ихроҷи аввал, ин дафъа на рамзҳои манбаъ, балки партовҳо, аз ҷумла скриншотҳои рамзҳои манбаъ, серверҳои назоратӣ ва инчунин суроғаҳои IP-и қурбониёни гузаштаи ҳакерҳо нашр шуданд. Ин дафъа ҳакерҳои Green Leakers масъулияти ихроҷ дар бораи MuddyWater-ро ба ӯҳда гирифтанд. Онҳо дорои якчанд каналҳои Telegram ва сайтҳои торикнет мебошанд, ки дар онҳо маълумоти марбут ба амалиёти MuddyWater таблиғ ва мефурӯшанд.

Ҷосусони киберӣ аз Ховари Миёна

Оби лой гурӯҳест, ки аз соли 2017 дар Ховари Миёна фаъол аст. Масалан, тавре коршиносони Group-IB қайд мекунанд, аз моҳи феврал то апрели соли 2019 ҳакерҳо як силсила паёмҳои фишингро анҷом додаанд, ки ба ҳукумат, ташкилотҳои таълимӣ, молӣ, телекоммуникатсионӣ ва мудофиаи Туркия, Эрон, Афғонистон, Ироқ ва Озарбойҷон равона шудаанд.

Аъзоёни гурӯҳ пушти дари рушди худро дар асоси PowerShell истифода мебаранд, ки он ном дорад ПРОГРАММАХО. Ӯ метавонад:

• ҷамъ овардани маълумот дар бораи ҳисобҳои маҳаллӣ ва доменӣ, серверҳои файлии дастрас, суроғаҳои IP дохилӣ ва беруна, ном ва меъмории ОС;
• иҷро кардани коди дурдаст;
• боргузорӣ ва зеркашии файлҳо тавассути C & C;
• мавҷудияти барномаҳоеро, ки дар таҳлили файлҳои зараровар истифода мешаванд, ошкор кунед;
• агар барномаҳо барои таҳлили файлҳои зараровар пайдо шаванд, системаро қатъ кунед;
• нест кардани файлҳо аз дискҳои маҳаллӣ;
• гирифтани скриншотҳо;
• чораҳои амниятӣ дар маҳсулоти Microsoft Office ғайрифаъол.

Дар баъзе лаҳзаҳо ҳамлагарон хато карданд ва муҳаққиқони ReaQta тавонистанд суроғаи ниҳоии IP-ро, ки дар Теҳрон ҷойгир буд, ба даст оранд. Бо таваҷҷуҳ ба ҳадафҳои ҳамлаи ин гурӯҳ ва ҳамчунин ҳадафҳои он марбут ба ҷосусии киберӣ, коршиносон бар ин назаранд, ки ин гурӯҳ аз манофеи давлати Эрон ҳимоят мекунад.

Нишондиҳандаҳои ҳамлаC&C:

• гладиатор[.]тк
• 94.23.148[.]194
• 192.95.21[.]28
• 46.105.84[.]146
• 185.162.235[.]182

Файлҳо:

• 09aabd2613d339d90ddbd4b7c09195a9
• cfa845995b851aacdf40b8e6a5b87ba7
• a61b268e9bc9b7e6c9125cdbfb1c422a
• f12bab5541a7d8ef4bbca81f6fc835a3
• a066f5b93f4ac85e9adfe5ff3b10bc28
• 8a004e93d7ee3b26d94156768bc0839d
• 0638adf8fb4095d60fbef190a759aa9e
• eed599981c097944fa143e7d7f7e17b1
• 21aebece73549b3c4355a6060df410e9
• 5c6148619abb10bb3789dcfb32f759a6

Туркия зери ҳамла

10 апрели соли 2019 мутахассисони Group-IB ихроҷи суроғаҳои почтаи ширкати туркии ASELSAN A.Ş, бузургтарин ширкати соҳаи электроникаи ҳарбӣ дар Туркияро ошкор карданд. Маҳсулоти он радиолокатсионӣ ва электроника, электро-оптика, авионика, системаҳои бесарнишин, заминӣ, баҳрӣ, силоҳ ва системаҳои дифои ҳавоӣ мебошанд.

Коршиносони Group-IB ҳангоми омӯзиши яке аз намунаҳои нави нармафзори зараровар POWERSTATS муайян карданд, ки гурӯҳи ҳамлагарон MuddyWater шартномаи литсензионии байни Koç Savunma, як ширкати истеҳсолкунандаи қарорҳо дар соҳаи технологияҳои иттилоотӣ ва дифоъӣ ва Tubitak Bilgem-ро ҳамчун ҳуҷҷати дом истифода кардаанд. , маркази тадқиқотии амнияти иттилоотӣ ва технологияҳои пешрафта. Шахси тамоси Коч Савунма Тоҳир Танер Тимиш буд, ки вазифаи менеҷери барномаҳо дар Koç Bilgi ve Savunma Teknolojileri A.Ş. аз сентябри соли 2013 то декабри 2018. Баъдтар дар ASELSAN A.Ş ба кор шурӯъ кард.

Намунаи ҳуҷҷати ифшо
Пас аз фаъол кардани корбар макросҳои зараровар, пушти дари POWERSTATS ба компютери ҷабрдида бор карда мешавад.

Бо шарофати метамаълумоти ин ҳуҷҷати фиребанда (MD5: 0638adf8fb4095d60fbef190a759aa9e) муҳаққиқон тавонистанд се намунаи иловагиро пайдо кунанд, ки дорои арзишҳои якхела мебошанд, аз ҷумла сана ва вақти офариниш, номи корбар ва рӯйхати макросҳои дорои:

• ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
• asd.doc (21aebece73549b3c4355a6060df410e9)
• F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)

Скриншоти метамаълумоти якхелаи ҳуҷҷатҳои гуногун

Яке аз ҳуҷҷатҳои кашфшуда бо ном ListOfHackedEmails.doc дорои рӯйхати 34 суроғаҳои почтаи электронӣ, ки ба домен тааллуқ доранд @aselsan.com.tr.

Мутахассисони Group-IB суроғаҳои почтаи электрониро дар ихроҷи оммавӣ тафтиш карданд ва муайян карданд, ки 28-тои онҳо дар ихроҷи қаблан ошкоршуда осеб дидаанд. Санҷиши омехтаи ихроҷи дастрас тақрибан 400 логинҳои беназири марбут ба ин домен ва паролҳои онҳоро нишон дод. Эҳтимол аст, ки ҳамлагарон ин маълумоти дастрасро барои ҳамла ба ASELSAN A.Ş истифода баранд.

Скриншоти ҳуҷҷати ListOfHackedEmails.doc

Скриншоти рӯйхати беш аз 450 ҷуфтҳои логин-парол дар ихроҷи оммавӣ ошкоршуда
Дар байни намунахои кашфшуда хуччате низ бо унвон мавчуд буд F35-Хусусиятҳо.doc, бо ишора ба ҳавопаймои ҷангии F-35. Ҳуҷҷати ришвахорӣ мушаххасоти ҳавопаймои ҷанганда-бомбгузори бисёрмақоми F-35 мебошад, ки хусусиятҳо ва нархи ҳавопайморо нишон медиҳад. Мавзӯи ин ҳуҷҷати таҳқиромез мустақиман ба даст кашидани ИМА аз таҳвили ҳавопаймоҳои F-35 пас аз харидории Туркия аз системаҳои S-400 ва таҳдиди интиқоли маълумот дар бораи F-35 Lightning II ба Русия марбут аст.

Ҳама маълумоти гирифташуда нишон медиҳанд, ки ҳадафҳои асосии ҳамлаҳои киберии MuddyWater созмонҳои воқеъ дар Туркия буданд.

Gladiyator_CRK ва Нима Никжу кистанд?

Қаблан, дар моҳи марти соли 2019 ҳуҷҷатҳои зарароварро кашф карданд, ки аз ҷониби як корбари Windows бо лақаби Gladiyator_CRK сохта шудааст. Ин ҳуҷҷатҳо инчунин пушти дарвозаи POWERSTATS-ро паҳн карданд ва ба сервери C&C бо номи шабеҳ пайваст шуданд гладиатор[.]тк.

Ин метавонад пас аз он анҷом дода шавад, ки корбар Нима Никҷо 14 марти соли 2019 дар Твиттер интишор карда, кӯшиши рамзкушоӣ кардани рамзи печидаи марбут ба MuddyWater буд. Дар шарҳҳои ин твит, муҳаққиқ гуфт, ки ӯ наметавонад нишондиҳандаҳои созишро барои ин нармафзори зараровар мубодила кунад, зеро ин маълумот махфӣ аст. Мутаассифона, ин паём аллакай нест карда шудааст, аммо осори он дар интернет боқӣ мемонад:

Нима Никҷу соҳиби профили Gladiyator_CRK дар сайтҳои видеохостинги dideo.ir ва videoi.ir эронӣ аст. Дар ин сайт, ӯ истисморҳои PoC-ро барои ғайрифаъол кардани абзорҳои антивирус аз фурӯшандагони гуногун ва аз қуттиҳои регзор гузаштан нишон медиҳад. Нима Никҷу дар бораи худ менависад, ки ӯ як мутахассиси амнияти шабака ва ҳамчунин муҳандиси баръакс ва таҳлилгари нармафзори зараровар аст, ки дар MTN Irancell, як ширкати мухобиротии эронӣ кор мекунад.

Скриншоти видеоҳои захирашуда дар натиҷаҳои ҷустуҷӯи Google:

Баъдтар, 19 марти соли 2019, корбар Nima Nikjoo дар шабакаи иҷтимоии Твиттер лақаби худро ба Malware Fighter иваз кард ва инчунин паёмҳо ва шарҳҳои марбутро ҳазф кард. Профили Gladiyator_CRK дар видеохостинги dideo.ir низ ҳазф шуд, ҳамон тавре ки дар Ютуб буд ва худи профил номи Н Табризӣ шуд. Бо вуҷуди ин, тақрибан як моҳ пас (16 апрели соли 2019) аккаунти Твиттер дубора номи Нима Никҷоро истифода бурд.

Дар ҷараёни таҳқиқот мутахассисони Group-IB муайян карданд, ки Нима Никҷо аллакай дар робита ба фаъолиятҳои киберҷинояткорӣ зикр шудааст. Моҳи августи соли 2014 блоги Эрон Хабарестӣ маълумот дар бораи афроди марбут ба гурӯҳи киберҷинояткории Институти Насри Эронро нашр кард. Як таҳқиқоти FireEye изҳор дошт, ки Институти Наср пудратчии APT33 буд ва инчунин дар ҳамлаҳои DDoS ба бонкҳои ИМА дар байни солҳои 2011 ва 2013 дар доираи як маърака бо номи Амалиёти Аббил ширкат дошт.

Ҳамин тавр, дар ҳамон блог Нима Никҷу-Никҷу, ки барои ҷосусӣ бар эрониҳо нармафзори зараровар таҳия мекард ва суроғаи почтаи электронии ӯ: gladiyator_cracker@yahoo[.]com ёдовар шуд.

Скриншоти маълумоти марбут ба киберҷинояткорон аз Пажӯҳишгоҳи Насри Эрон:

Тарҷумаи матни таъкидшуда ба русӣ: Nima Nikio - Таҳиягари нармафзори ҷосусӣ - Email:.

Тавре ки аз ин маълумот дида мешавад, суроғаи почтаи электронӣ бо суроғаи дар ҳамлаҳо истифодашуда ва корбарони Gladiyator_CRK ва Nima Nikjoo алоқаманд аст.

Илова бар ин, дар мақолаи 15 июни соли 2017 гуфта шудааст, ки Никҷо дар интишори истинодҳо ба Маркази Амнияти Кавош дар ҳоли ҳозир то ҳадде беэҳтиётӣ кардааст. Бихӯред афкорки Маркази Амнияти Кавошро давлати Эрон барои бо пул таъмин кардани хакерхои тарафдори хукумат дастгирй мекунад.

Маълумот дар бораи ширкате, ки Нима Никҷо кор кардааст:

Дар профили LinkedIn-и корбари Твиттер Нима Никҷу аввалин ҷои кори ӯ ҳамчун Маркази Амнияти Кавош оварда шудааст, ки аз соли 2006 то 2014 дар он ҷо кор кардааст. Дар давоми кори худ, ӯ нармафзорҳои гуногуни зарароварро омӯхт ва инчунин бо корҳои баръакс ва нофаҳмоӣ машғул буд.

Маълумот дар бораи ширкати Nima Nikjoo дар LinkedIn кор кардааст:

MuddyWater ва худбаҳодиҳии баланд

Аҷиб аст, ки гурӯҳи MuddyWater ҳама гузоришҳо ва паёмҳои коршиносони амнияти иттилоотиро, ки дар бораи онҳо интишор кардаанд, бодиққат назорат мекунад ва ҳатто дар аввал дидаву дониста парчамҳои бардурӯғ гузоштааст, то муҳаққиқонро аз бӯй дур кунад. Масалан, аввалин ҳамлаҳои онҳо коршиносонро тавассути ошкор кардани истифодаи DNS Messenger, ки маъмулан бо гурӯҳи FIN7 алоқаманд буд, гумроҳ карданд. Дар ҳамлаҳои дигар, онҳо ба рамз сатрҳои чиниро ворид карданд.

Илова бар ин, гурӯҳ дӯст медорад, ки паёмҳо барои тадқиқотчиён гузоранд. Масалан, ба онҳо маъқул набуд, ки лабораторияи Касперский MuddyWater-ро дар рейтинги таҳдиди худ дар тӯли сол дар ҷои 3-юм ҷойгир кардааст. Дар айни замон, касе - эҳтимолан гурӯҳи MuddyWater - як PoC-и истисморро ба YouTube бор кард, ки антивируси LK-ро ғайрифаъол мекунад. Онҳо инчунин дар зери мақола шарҳ гузоштанд.

Скриншотҳои видео дар бораи хомӯш кардани антивируси Lab Касперский ва шарҳи зер:

Дар бораи дахолати «Нима Никжу» хулосаи якхела баровардан хануз душвор аст. Коршиносони Group-IB ду вариантро баррасӣ мекунанд. Нима Никҷу, воқеан, шояд як ҳакер аз гурӯҳи MuddyWater бошад, ки бар асари беэҳтиётӣ ва афзоиши фаъолияш дар шабака ошкор шудааст. Варианти дуюм ин аст, ки ӯро дигар аъзои гурӯҳ дидаву дониста «фош» кардаанд, то шубҳаро аз худ дур созанд. Дар ҳар сурат, Group-IB тадқиқоти худро идома медиҳад ва ҳатман аз натиҷаҳои он хабар медиҳад.

Дар мавриди АПТ-ҳои эронӣ, пас аз як силсила ихроҷ ва ихроҷ, онҳо эҳтимолан ба "дебрифинг"-и ҷиддӣ рӯбарӯ хоҳанд шуд - ҳакерҳо маҷбур мешаванд, ки асбобҳои худро ба таври ҷиддӣ иваз кунанд, изи худро тоза кунанд ва дар сафҳои худ "молҳо"-и эҳтимолиро пайдо кунанд. Коршиносон рад накарданд, ки онҳо ҳатто тайм-аут хоҳанд гирифт, аммо пас аз як танаффуси кӯтоҳ, ҳамлаҳои ҲАТ-и Эрон дубора идома ёфтанд.

Манбаъ: will.com