แฮกเกอร์สนับสนุนรัฐบาลอิหร่านกำลังประสบปัญหาใหญ่ ตลอดฤดูใบไม้ผลิ คนที่ไม่รู้จักเผยแพร่ "ความลับรั่วไหล" บน Telegram - ข้อมูลเกี่ยวกับกลุ่ม APT ที่เกี่ยวข้องกับรัฐบาลอิหร่าน - แท่นขุดเจาะน้ำมัน и น้ำโคลน — เครื่องมือ เหยื่อ ความเชื่อมโยง แต่ไม่ใช่เกี่ยวกับทุกคน ในเดือนเมษายน ผู้เชี่ยวชาญ Group-IB ค้นพบการรั่วไหลของที่อยู่ทางไปรษณีย์ของบริษัท ASELSAN A.S ของตุรกี ซึ่งผลิตวิทยุยุทธวิธีทางทหารและระบบป้องกันอิเล็กทรอนิกส์สำหรับกองทัพตุรกี อนาสตาเซีย ติโคโนวา, หัวหน้าทีมวิจัยภัยคุกคามขั้นสูง Group-IB และ นิกิต้า รอสตอฟเซฟนักวิเคราะห์รุ่นเยาว์ของ Group-IB บรรยายถึงแนวทางการโจมตี ASELSAN A.S และพบผู้เข้าร่วมที่เป็นไปได้ น้ำโคลน.
การส่องสว่างผ่านทางโทรเลข
การรั่วไหลของกลุ่ม APT ของอิหร่านเริ่มต้นจากการที่แล็บ Doukhtegan แห่งหนึ่ง ซอร์สโค้ดของเครื่องมือ APT34 หกตัว (หรือที่เรียกว่า OilRig และ HelixKitten) เปิดเผยที่อยู่ IP และโดเมนที่เกี่ยวข้องในการดำเนินงาน รวมถึงข้อมูลเกี่ยวกับเหยื่อของแฮกเกอร์ 66 ราย รวมถึง Etihad Airways และ Emirates National Oil Lab Doookhtegan ยังรั่วไหลข้อมูลเกี่ยวกับการดำเนินงานในอดีตของกลุ่มและข้อมูลเกี่ยวกับพนักงานของกระทรวงสารสนเทศและความมั่นคงแห่งชาติของอิหร่านที่ถูกกล่าวหาว่าเกี่ยวข้องกับการดำเนินงานของกลุ่ม OilRig เป็นกลุ่ม APT ที่เกี่ยวข้องกับอิหร่าน ซึ่งก่อตั้งมาตั้งแต่ปี 2014 และกำหนดเป้าหมายไปที่องค์กรภาครัฐ การเงินและการทหาร รวมถึงบริษัทพลังงานและโทรคมนาคมในตะวันออกกลางและจีน
หลังจากที่ OilRig ถูกเปิดเผย การรั่วไหลยังคงดำเนินต่อไป - ข้อมูลเกี่ยวกับกิจกรรมของกลุ่มสนับสนุนรัฐอีกกลุ่มจากอิหร่าน MuddyWater ปรากฏบน darknet และบน Telegram อย่างไรก็ตาม ต่างจากการรั่วไหลครั้งแรก คราวนี้ไม่ใช่ซอร์สโค้ดที่ถูกเผยแพร่ แต่เป็นการทิ้ง รวมถึงภาพหน้าจอของซอร์สโค้ด เซิร์ฟเวอร์ควบคุม รวมถึงที่อยู่ IP ของเหยื่อแฮกเกอร์ในอดีต คราวนี้แฮกเกอร์ Green Leakers รับผิดชอบต่อการรั่วไหลของ MuddyWater พวกเขาเป็นเจ้าของช่องทาง Telegram และไซต์ darknet หลายแห่งที่พวกเขาโฆษณาและขายข้อมูลที่เกี่ยวข้องกับการดำเนินงานของ MuddyWater
สายลับไซเบอร์จากตะวันออกกลาง
น้ำโคลน เป็นกลุ่มที่มีการดำเนินงานมาตั้งแต่ปี 2017 ในตะวันออกกลาง ตัวอย่างเช่น ตามที่ผู้เชี่ยวชาญ Group-IB ตั้งข้อสังเกต ตั้งแต่เดือนกุมภาพันธ์ถึงเมษายน 2019 แฮกเกอร์ได้ส่งอีเมลฟิชชิ่งหลายชุดโดยมุ่งเป้าไปที่รัฐบาล องค์กรการศึกษา บริษัทการเงิน โทรคมนาคม และการป้องกันประเทศในตุรกี อิหร่าน อัฟกานิสถาน อิรัก และอาเซอร์ไบจาน
สมาชิกกลุ่มใช้แบ็คดอร์ของการพัฒนาของตนเองโดยใช้ PowerShell ซึ่งเรียกว่า พาวเวอร์สเตท. เขาสามารถ:
- รวบรวมข้อมูลเกี่ยวกับบัญชีท้องถิ่นและโดเมน ไฟล์เซิร์ฟเวอร์ที่มีอยู่ ที่อยู่ IP ภายในและภายนอก ชื่อและสถาปัตยกรรมระบบปฏิบัติการ
- ดำเนินการประมวลผลโค้ดจากระยะไกล
- อัพโหลดและดาวน์โหลดไฟล์ผ่าน C&C;
- ตรวจจับการมีอยู่ของโปรแกรมดีบั๊กที่ใช้ในการวิเคราะห์ไฟล์ที่เป็นอันตราย
- ปิดระบบหากพบโปรแกรมสำหรับวิเคราะห์ไฟล์ที่เป็นอันตราย
- ลบไฟล์ออกจากไดรฟ์ในเครื่อง
- จับภาพหน้าจอ;
- ปิดการใช้งานมาตรการรักษาความปลอดภัยในผลิตภัณฑ์ Microsoft Office
เมื่อถึงจุดหนึ่ง ผู้โจมตีทำผิดพลาดและนักวิจัยจาก ReaQta สามารถจัดการรับที่อยู่ IP สุดท้ายซึ่งตั้งอยู่ในกรุงเตหะราน เมื่อพิจารณาถึงเป้าหมายที่ถูกโจมตีโดยกลุ่มนี้ รวมถึงเป้าหมายที่เกี่ยวข้องกับการจารกรรมทางไซเบอร์ ผู้เชี่ยวชาญแนะนำว่ากลุ่มนี้เป็นตัวแทนของผลประโยชน์ของรัฐบาลอิหร่าน
ตัวชี้วัดการโจมตีซีแอนด์ซี:
- กลาดิเอเตอร์[.]ทีเค
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
ไฟล์:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
ตุรกีถูกโจมตี
เมื่อวันที่ 10 เมษายน 2019 ผู้เชี่ยวชาญ Group-IB ค้นพบการรั่วไหลของที่อยู่ทางไปรษณีย์ของบริษัท ASELSAN A.S ของตุรกี ซึ่งเป็นบริษัทที่ใหญ่ที่สุดในด้านอิเล็กทรอนิกส์ทางการทหารในตุรกี ผลิตภัณฑ์ของบริษัทประกอบด้วยเรดาร์และอิเล็กทรอนิกส์ อิเล็กโทรออปติก ระบบการบิน ระบบไร้คนขับ ทางบก กองทัพเรือ อาวุธ และระบบป้องกันภัยทางอากาศ
จากการศึกษาหนึ่งในตัวอย่างใหม่ของมัลแวร์ POWERSTATS ผู้เชี่ยวชาญ Group-IB ระบุว่ากลุ่มผู้โจมตี MuddyWater ที่ใช้เป็นเอกสารเหยื่อเป็นข้อตกลงใบอนุญาตระหว่าง Koç Savunma บริษัทที่ผลิตโซลูชันในด้านเทคโนโลยีสารสนเทศและการป้องกัน และ Tubitak Bilgem ศูนย์วิจัยความมั่นคงปลอดภัยสารสนเทศและเทคโนโลยีขั้นสูง ผู้ติดต่อของ Koç Savunma คือ Tahir Taner Tımış ซึ่งดำรงตำแหน่งผู้จัดการโปรแกรมที่ Koç Bilgi ve Savunma Teknolojileri A.S. ตั้งแต่ กันยายน 2013 ถึง ธันวาคม 2018 ต่อมาเขาเริ่มทำงานที่ ASELSAN A.S.
ตัวอย่างเอกสารล่อ
หลังจากที่ผู้ใช้เปิดใช้งานมาโครที่เป็นอันตราย ประตูหลัง POWERSTATS จะถูกดาวน์โหลดไปยังคอมพิวเตอร์ของเหยื่อ
ขอขอบคุณข้อมูลเมตาของเอกสารล่อนี้ (MD5: 0638adf8fb4095d60fbef190a759aa9e) นักวิจัยสามารถค้นหาตัวอย่างเพิ่มเติมสามตัวอย่างที่มีค่าเหมือนกัน รวมถึงวันที่และเวลาที่สร้าง ชื่อผู้ใช้ และรายการมาโครที่มีอยู่:
- รายการ OfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
ภาพหน้าจอของเมตาดาต้าที่เหมือนกันของเอกสารล่อต่างๆ
หนึ่งในเอกสารที่ค้นพบซึ่งมีชื่อว่า รายการ OfHackedEmails.doc มีรายชื่อที่อยู่อีเมล 34 รายการที่เป็นของโดเมน @aselsan.com.tr.
ผู้เชี่ยวชาญ Group-IB ตรวจสอบที่อยู่อีเมลในการรั่วไหลที่เปิดเผยต่อสาธารณะ และพบว่า 28 รายการในนั้นถูกบุกรุกจากการรั่วไหลที่ค้นพบก่อนหน้านี้ การตรวจสอบการรั่วไหลที่มีอยู่แสดงให้เห็นการเข้าสู่ระบบที่ไม่ซ้ำกันประมาณ 400 รายการที่เกี่ยวข้องกับโดเมนนี้และรหัสผ่านสำหรับพวกเขา เป็นไปได้ว่าผู้โจมตีใช้ข้อมูลที่เปิดเผยต่อสาธารณะนี้เพื่อโจมตี ASELSAN A.S.
ภาพหน้าจอของเอกสาร ListOfHackedEmails.doc
ภาพหน้าจอของรายการคู่รหัสผ่านเข้าสู่ระบบที่ตรวจพบมากกว่า 450 คู่ในการรั่วไหลของสาธารณะ
ในบรรดาตัวอย่างที่ค้นพบนั้น มีเอกสารชื่อหนึ่งด้วย F35-ข้อมูลจำเพาะ.docซึ่งหมายถึงเครื่องบินขับไล่ F-35 เอกสารเหยื่อเป็นข้อกำหนดสำหรับเครื่องบินทิ้งระเบิดหลายบทบาท F-35 ซึ่งระบุคุณลักษณะและราคาของเครื่องบิน หัวข้อของเอกสารล่อนี้เกี่ยวข้องโดยตรงกับการที่สหรัฐฯ ปฏิเสธที่จะจัดหา F-35 หลังจากที่ตุรกีซื้อระบบ S-400 และภัยคุกคามในการถ่ายโอนข้อมูลเกี่ยวกับ F-35 Lightning II ไปยังรัสเซีย
ข้อมูลทั้งหมดที่ได้รับระบุว่าเป้าหมายหลักของการโจมตีทางไซเบอร์ MuddyWater คือองค์กรที่ตั้งอยู่ในตุรกี
Gladiyator_CRK และ Nima Nikjoo คือใคร?
ก่อนหน้านี้ในเดือนมีนาคม 2019 เอกสารที่เป็นอันตรายถูกค้นพบโดยผู้ใช้ Windows คนหนึ่งภายใต้ชื่อเล่น Gladiyator_CRK เอกสารเหล่านี้ยังเผยแพร่แบ็คดอร์ POWERSTATS และเชื่อมต่อกับเซิร์ฟเวอร์ C&C ที่มีชื่อคล้ายกัน กลาดิเอเตอร์[.]ทีเค.
สิ่งนี้อาจเกิดขึ้นหลังจากที่ผู้ใช้ Nima Nikjoo โพสต์บน Twitter เมื่อวันที่ 14 มีนาคม 2019 โดยพยายามถอดรหัสโค้ดที่สร้างความสับสนที่เกี่ยวข้องกับ MuddyWater ในความคิดเห็นต่อทวีตนี้ นักวิจัยกล่าวว่าเขาไม่สามารถแชร์ตัวบ่งชี้การประนีประนอมสำหรับมัลแวร์นี้ได้ เนื่องจากข้อมูลนี้เป็นความลับ น่าเสียดายที่โพสต์ถูกลบไปแล้ว แต่ร่องรอยของโพสต์ยังคงออนไลน์อยู่:
Nima Nikjoo เป็นเจ้าของโปรไฟล์ Gladiyator_CRK บนไซต์โฮสติ้งวิดีโอของอิหร่าน Dideo.ir และ videoi.ir บนไซต์นี้ เขาสาธิตการหาประโยชน์จาก PoC เพื่อปิดการใช้งานเครื่องมือป้องกันไวรัสจากผู้ขายต่างๆ และบายพาสแซนด์บ็อกซ์ Nima Nikjoo เขียนเกี่ยวกับตัวเองว่าเขาเป็นผู้เชี่ยวชาญด้านความปลอดภัยเครือข่าย เช่นเดียวกับวิศวกรย้อนกลับและนักวิเคราะห์มัลแวร์ที่ทำงานให้กับ MTNอิหร่านเซลล์ บริษัทโทรคมนาคมของอิหร่าน
ภาพหน้าจอของวิดีโอที่บันทึกไว้ในผลการค้นหาของ Google:
ต่อมาในวันที่ 19 มีนาคม 2019 ผู้ใช้ Nima Nikjoo บนโซเชียลเน็ตเวิร์ก Twitter ได้เปลี่ยนชื่อเล่นเป็น Malware Fighter พร้อมทั้งลบโพสต์และความคิดเห็นที่เกี่ยวข้องด้วย โปรไฟล์ของ Gladiyator_CRK บนโฮสต์วิดีโอ Dideo.ir ก็ถูกลบเช่นกัน เช่นเดียวกับกรณีบน YouTube และโปรไฟล์เองก็ถูกเปลี่ยนชื่อเป็น N Tabrizi อย่างไรก็ตาม เกือบหนึ่งเดือนต่อมา (16 เมษายน 2019) บัญชี Twitter ก็เริ่มใช้ชื่อ Nima Nikjoo อีกครั้ง
ในระหว่างการศึกษา ผู้เชี่ยวชาญ Group-IB พบว่ามีการกล่าวถึง Nima Nikjoo ที่เกี่ยวข้องกับกิจกรรมทางอาญาทางไซเบอร์แล้ว ในเดือนสิงหาคม 2014 บล็อกของอิหร่าน Khabarestan เผยแพร่ข้อมูลเกี่ยวกับบุคคลที่เกี่ยวข้องกับกลุ่มอาชญากรไซเบอร์ Israelian Nasr Institute การสืบสวนของ FireEye ระบุว่า Nasr Institute เป็นผู้รับเหมาสำหรับ APT33 และยังเกี่ยวข้องกับการโจมตี DDoS ในธนาคารของสหรัฐฯ ระหว่างปี 2011 ถึง 2013 โดยเป็นส่วนหนึ่งของแคมเปญที่เรียกว่า Operation Ababil
ในบล็อกเดียวกัน มีการกล่าวถึง Nima Nikju-Nikjoo ซึ่งเป็นผู้พัฒนามัลแวร์เพื่อสอดแนมชาวอิหร่าน และที่อยู่อีเมลของเขา: Gladiyator_cracker@yahoo[.]com
ภาพหน้าจอของข้อมูลที่มาจากอาชญากรไซเบอร์จากสถาบัน Nasr ของอิหร่าน:
การแปลข้อความที่ไฮไลต์เป็นภาษารัสเซีย: Nima Nikio - ผู้พัฒนาสปายแวร์ - อีเมล:.
ดังที่เห็นได้จากข้อมูลนี้ ที่อยู่อีเมลเชื่อมโยงกับที่อยู่ที่ใช้ในการโจมตีและผู้ใช้ Gladiyator_CRK และ Nima Nikjoo
นอกจากนี้ บทความเมื่อวันที่ 15 มิถุนายน 2017 ระบุว่า Nikjoo ค่อนข้างประมาทในการโพสต์การอ้างอิงถึง Kavosh Security Center ในเรซูเม่ของเขา กิน ว่า Kavosh Security Center ได้รับการสนับสนุนจากรัฐอิหร่านเพื่อเป็นเงินทุนแก่แฮกเกอร์ที่สนับสนุนรัฐบาล
ข้อมูลเกี่ยวกับบริษัทที่นิมา นิกจูทำงาน:
ผู้ใช้ Twitter โปรไฟล์ LinkedIn ของ Nima Nikjoo ระบุสถานที่ทำงานแห่งแรกของเขาในชื่อ Kavosh Security Center ซึ่งเขาทำงานตั้งแต่ปี 2006 ถึง 2014 ในระหว่างที่เขาทำงาน เขาได้ศึกษามัลแวร์ต่างๆ และยังจัดการกับงานที่เกี่ยวข้องกับการย้อนกลับและการสร้างความสับสนอีกด้วย
ข้อมูลเกี่ยวกับบริษัท Nima Nikjoo ทำงานด้วยใน LinkedIn:
MuddyWater และความภาคภูมิใจในตนเองสูง
เป็นเรื่องที่น่าแปลกใจที่กลุ่ม MuddyWater ติดตามรายงานและข้อความทั้งหมดจากผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลที่เผยแพร่เกี่ยวกับพวกเขาอย่างรอบคอบ และกระทั่งจงใจทิ้งธงเท็จในตอนแรกเพื่อไม่ให้นักวิจัยได้กลิ่น ตัวอย่างเช่น การโจมตีครั้งแรกทำให้ผู้เชี่ยวชาญเข้าใจผิดโดยการตรวจจับการใช้ DNS Messenger ซึ่งโดยทั่วไปเกี่ยวข้องกับกลุ่ม FIN7 ในการโจมตีอื่นๆ พวกเขาแทรกสตริงภาษาจีนลงในโค้ด
นอกจากนี้กลุ่มยังชอบฝากข้อความถึงนักวิจัยอีกด้วย ตัวอย่างเช่น พวกเขาไม่ชอบที่ Kaspersky Lab จัดให้ MuddyWater อยู่ในอันดับที่ 3 ในด้านระดับภัยคุกคามประจำปี ในเวลาเดียวกัน มีคนซึ่งน่าจะเป็นกลุ่ม MuddyWater ได้อัปโหลด PoC ของช่องโหว่ไปยัง YouTube ซึ่งจะปิดการใช้งานโปรแกรมป้องกันไวรัส LK พวกเขายังแสดงความคิดเห็นไว้ใต้บทความด้วย
ภาพหน้าจอของวิดีโอเกี่ยวกับการปิดใช้งานโปรแกรมป้องกันไวรัส Kaspersky Lab และคำอธิบายด้านล่าง:
ยังคงเป็นเรื่องยากที่จะให้ข้อสรุปที่ชัดเจนเกี่ยวกับการมีส่วนร่วมของ “นิมา นิกจู” ผู้เชี่ยวชาญ Group-IB กำลังพิจารณาสองเวอร์ชัน Nima Nikjoo จริงๆ แล้วอาจเป็นแฮ็กเกอร์จากกลุ่ม MuddyWater ที่ถูกเปิดเผยเนื่องจากความประมาทเลินเล่อของเขาและเพิ่มกิจกรรมบนเครือข่าย ตัวเลือกที่สองคือสมาชิกคนอื่นในกลุ่มจงใจ "เปิดเผย" เพื่อเบี่ยงเบนความสงสัยไปจากพวกเขา ไม่ว่าในกรณีใด Group-IB จะทำการวิจัยต่อไปและจะรายงานผลอย่างแน่นอน
สำหรับ APT ของอิหร่าน หลังจากการรั่วไหลและการรั่วไหลหลายครั้ง พวกเขาอาจจะเผชิญกับ "การซักถาม" ที่ร้ายแรง - แฮกเกอร์จะถูกบังคับให้เปลี่ยนเครื่องมืออย่างจริงจัง ทำความสะอาดเส้นทาง และค้นหา "ตัวตุ่น" ที่เป็นไปได้ในอันดับของพวกเขา ผู้เชี่ยวชาญไม่ได้ปฏิเสธว่าพวกเขาจะใช้เวลานอกด้วยซ้ำ แต่หลังจากหยุดพักช่วงสั้นๆ การโจมตี APT ของอิหร่านยังดำเนินต่อไปอีกครั้ง
ที่มา: will.com