Ang mga hacker na pro-government ng Iran ay nasa malaking problema. Sa buong tagsibol, ang mga hindi kilalang tao ay nag-publish ng "mga lihim na pagtagas" sa Telegram - impormasyon tungkol sa mga grupo ng APT na nauugnay sa gobyerno ng Iran - OilRig ΠΈ MuddyWater β kanilang mga kasangkapan, biktima, koneksyon. Ngunit hindi tungkol sa lahat. Noong Abril, natuklasan ng mga espesyalista ng Group-IB ang isang leak ng mga mailing address ng Turkish corporation na ASELSAN A.Ε, na gumagawa ng mga tactical military radio at electronic defense system para sa Turkish armed forces. Anastasia Tikhonova, Group-IB Advanced Threat Research Team Leader, at Nikita RostovtsevInilarawan ni , junior analyst sa Group-IB, ang kurso ng pag-atake sa ASELSAN A.Ε at nakakita ng posibleng kalahok MuddyWater.
Pag-iilaw sa pamamagitan ng Telegram
Ang pagtagas ng mga Iranian APT group ay nagsimula sa katotohanan na ang isang tiyak na Lab Doukhtegan ang mga source code ng anim na tool ng APT34 (aka OilRig at HelixKitten), ay nagsiwalat ng mga IP address at domain na kasangkot sa mga operasyon, pati na rin ang data sa 66 na biktima ng mga hacker, kabilang ang Etihad Airways at Emirates National Oil. Nag-leak din si Lab Doookhtegan ng data tungkol sa mga nakaraang operasyon ng grupo at impormasyon tungkol sa mga empleyado ng Iranian Ministry of Information and National Security na sinasabing nauugnay sa mga operasyon ng grupo. Ang OilRig ay isang grupong APT na nauugnay sa Iran na umiral mula noong bandang 2014 at tina-target ang mga organisasyon ng gobyerno, pananalapi at militar, pati na rin ang mga kumpanya ng enerhiya at telekomunikasyon sa Middle East at China.
Matapos malantad ang OilRig, nagpatuloy ang mga pagtagas - lumabas sa darknet at sa Telegram ang impormasyon tungkol sa mga aktibidad ng isa pang grupong pro-estado mula sa Iran, MuddyWater. Gayunpaman, hindi tulad ng unang pagtagas, sa pagkakataong ito ay hindi ang mga source code ang na-publish, ngunit ang mga dump, kabilang ang mga screenshot ng source code, control server, pati na rin ang mga IP address ng mga nakaraang biktima ng mga hacker. Sa pagkakataong ito, sinagot ng mga hacker ng Green Leakers ang pagtagas tungkol sa MuddyWater. Nagmamay-ari sila ng ilang Telegram channel at darknet site kung saan sila nag-a-advertise at nagbebenta ng data na nauugnay sa mga operasyon ng MuddyWater.
Mga cyber spies mula sa Gitnang Silangan
MuddyWater ay isang grupo na naging aktibo mula noong 2017 sa Middle East. Halimbawa, gaya ng tala ng mga eksperto sa Group-IB, mula Pebrero hanggang Abril 2019, ang mga hacker ay nagsagawa ng isang serye ng mga phishing na pagpapadala na naglalayong sa gobyerno, mga organisasyong pang-edukasyon, mga kumpanya sa pananalapi, telekomunikasyon at pagtatanggol sa Turkey, Iran, Afghanistan, Iraq at Azerbaijan.
Gumagamit ang mga miyembro ng grupo ng backdoor ng kanilang sariling development batay sa PowerShell, na tinatawag POWERSTATS. Kaya niyang:
- mangolekta ng data tungkol sa mga lokal at domain account, magagamit na mga file server, panloob at panlabas na mga IP address, pangalan at arkitektura ng OS;
- magsagawa ng remote code execution;
- mag-upload at mag-download ng mga file sa pamamagitan ng C&C;
- tuklasin ang pagkakaroon ng mga programa sa pag-debug na ginagamit sa pagsusuri ng mga malisyosong file;
- isara ang system kung ang mga programa para sa pagsusuri ng mga nakakahamak na file ay natagpuan;
- tanggalin ang mga file mula sa mga lokal na drive;
- kumuha ng mga screenshot;
- huwag paganahin ang mga hakbang sa seguridad sa mga produkto ng Microsoft Office.
Sa ilang mga punto, nagkamali ang mga umaatake at nakuha ng mga mananaliksik mula sa ReaQta ang panghuling IP address, na matatagpuan sa Tehran. Dahil sa mga target na inatake ng grupo, pati na rin ang mga layunin nito na may kaugnayan sa cyber espionage, iminungkahi ng mga eksperto na ang grupo ay kumakatawan sa mga interes ng gobyerno ng Iran.
Mga tagapagpahiwatig ng pag-atakeC&C:
- gladiator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Mga file:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Inaatake ang TΓΌrkiye
Noong Abril 10, 2019, natuklasan ng mga espesyalista ng Group-IB ang isang leak ng mga mailing address ng Turkish company na ASELSAN A.Ε, ang pinakamalaking kumpanya sa larangan ng military electronics sa Turkey. Kabilang sa mga produkto nito ang radar at electronics, electro-optics, avionics, unmanned system, land, naval, armas at air defense system.
Sa pag-aaral ng isa sa mga bagong sample ng POWERSTATS malware, natukoy ng mga eksperto ng Group-IB na ginamit ng MuddyWater na pangkat ng mga umaatake bilang dokumento ng pain ang isang kasunduan sa lisensya sa pagitan ng KoΓ§ Savunma, isang kumpanyang gumagawa ng mga solusyon sa larangan ng mga teknolohiya ng impormasyon at depensa, at Tubitak Bilgem , isang sentro ng pananaliksik sa seguridad ng impormasyon at mga advanced na teknolohiya. Ang contact person para kay KoΓ§ Savunma ay si Tahir Taner TΔ±mΔ±Ε, na humawak ng posisyon ng Programs Manager sa KoΓ§ Bilgi ve Savunma Teknolojileri A.Ε. mula Setyembre 2013 hanggang Disyembre 2018. Nang maglaon ay nagsimula siyang magtrabaho sa ASELSAN A.Ε.
Halimbawang dokumento ng decoy
Pagkatapos i-activate ng user ang mga nakakahamak na macro, ang POWERSTATS backdoor ay mada-download sa computer ng biktima.
Salamat sa metadata ng decoy na dokumentong ito (MD5: 0638adf8fb4095d60fbef190a759aa9e) ang mga mananaliksik ay nakahanap ng tatlong karagdagang sample na naglalaman ng magkatulad na mga halaga, kabilang ang petsa at oras ng paggawa, username, at isang listahan ng mga macro na naglalaman:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Screenshot ng magkatulad na metadata ng iba't ibang dokumento ng decoy
Isa sa mga natuklasang dokumento na may pangalan ListOfHackedEmails.doc naglalaman ng listahan ng 34 na email address na kabilang sa domain @aselsan.com.tr.
Sinuri ng mga espesyalista ng Group-IB ang mga email address sa mga paglabas na available sa publiko at nalaman na 28 sa mga ito ang nakompromiso sa mga naunang natuklasang paglabas. Ang pagsuri sa halo ng mga available na paglabas ay nagpakita ng humigit-kumulang 400 natatanging mga pag-login na nauugnay sa domain na ito at mga password para sa kanila. Posibleng ginamit ng mga umaatake ang data na ito na available sa publiko para atakehin ang ASELSAN A.Ε.
Screenshot ng dokumentong ListOfHackedEmails.doc
Screenshot ng isang listahan ng higit sa 450 natukoy na mga pares ng login-password sa mga pampublikong paglabas
Sa mga natuklasang sample ay mayroon ding dokumentong may pamagat F35-Mga Pagtutukoy.doc, na tumutukoy sa F-35 fighter jet. Ang dokumento ng pain ay isang detalye para sa F-35 multi-role fighter-bomber, na nagsasaad ng mga katangian at presyo ng sasakyang panghimpapawid. Ang paksa ng decoy document na ito ay direktang nauugnay sa pagtanggi ng US na mag-supply ng mga F-35 pagkatapos ng pagbili ng Turkey ng S-400 system at ang banta ng paglilipat ng impormasyon tungkol sa F-35 Lightning II sa Russia.
Ang lahat ng data na natanggap ay nagpahiwatig na ang mga pangunahing target ng MuddyWater cyber attacks ay mga organisasyong matatagpuan sa Turkey.
Sino sina Gladiyator_CRK at Nima Nikjoo?
Mas maaga, noong Marso 2019, natuklasan ang mga nakakahamak na dokumento na ginawa ng isang user ng Windows sa ilalim ng palayaw na Gladiyator_CRK. Ang mga dokumentong ito ay ipinamahagi din ang POWERSTATS backdoor at nakakonekta sa isang C&C server na may katulad na pangalan gladiator[.]tk.
Maaaring ginawa ito pagkatapos mag-post ng user na si Nima Nikjoo sa Twitter noong Marso 14, 2019, na sinusubukang i-decode ang na-obfuscated na code na nauugnay sa MuddyWater. Sa mga komento sa tweet na ito, sinabi ng mananaliksik na hindi siya maaaring magbahagi ng mga tagapagpahiwatig ng kompromiso para sa malware na ito, dahil kumpidensyal ang impormasyong ito. Sa kasamaang palad, ang post ay tinanggal na, ngunit ang mga bakas nito ay nananatiling online:
Si Nima Nikjoo ang may-ari ng Gladiyator_CRK profile sa Iranian video hosting sites dideo.ir at videoi.ir. Sa site na ito, ipinakita niya ang mga pagsasamantala ng PoC upang huwag paganahin ang mga tool ng antivirus mula sa iba't ibang mga vendor at i-bypass ang mga sandbox. Isinulat ni Nima Nikjoo ang tungkol sa kanyang sarili na siya ay isang network security specialist, pati na rin ang isang reverse engineer at malware analyst na nagtatrabaho para sa MTN Irancell, isang Iranian telecommunications company.
Screenshot ng mga naka-save na video sa mga resulta ng paghahanap sa Google:
Nang maglaon, noong Marso 19, 2019, binago ng user na si Nima Nikjoo sa social network na Twitter ang kanyang palayaw sa Malware Fighter, at tinanggal din ang mga nauugnay na post at komento. Ang profile ni Gladiyator_CRK sa video hosting na dideo.ir ay tinanggal din, tulad ng nangyari sa YouTube, at ang profile mismo ay pinalitan ng pangalan na N Tabrizi. Gayunpaman, makalipas ang halos isang buwan (Abril 16, 2019), muling ginamit ng Twitter account ang pangalang Nima Nikjoo.
Sa panahon ng pag-aaral, natuklasan ng mga espesyalista ng Group-IB na nabanggit na si Nima Nikjoo kaugnay ng mga aktibidad sa cybercriminal. Noong Agosto 2014, ang Iran Khabarestan blog ay nag-publish ng impormasyon tungkol sa mga indibidwal na nauugnay sa cybercriminal group na Iranian Nasr Institute. Isang pagsisiyasat sa FireEye ang nagsabi na ang Nasr Institute ay isang kontratista para sa APT33 at kasangkot din sa mga pag-atake ng DDoS sa mga bangko sa US sa pagitan ng 2011 at 2013 bilang bahagi ng isang kampanyang tinatawag na Operation Ababil.
Kaya sa parehong blog, binanggit si Nima Nikju-Nikjoo, na gumagawa ng malware para mag-espiya sa mga Iranian, at ang kanyang email address: gladiator_cracker@yahoo[.]com.
Screenshot ng data na nauugnay sa mga cybercriminal mula sa Iranian Nasr Institute:
Pagsasalin ng naka-highlight na teksto sa Russian: Nima Nikio - Developer ng Spyware - Email:.
Tulad ng makikita mula sa impormasyong ito, nauugnay ang email address sa address na ginamit sa mga pag-atake at sa mga user na sina Gladiyator_CRK at Nima Nikjoo.
Bukod pa rito, ang artikulo noong Hunyo 15, 2017 ay nakasaad na si Nikjoo ay medyo pabaya sa pag-post ng mga sanggunian sa Kavosh Security Center sa kanyang resume. Kumain na ang Kavosh Security Center ay suportado ng Iranian state para tustusan ang mga hacker na pro-government.
Impormasyon tungkol sa kumpanya kung saan nagtrabaho si Nima Nikjoo:
Inililista ng profile ng LinkedIn ng user ng Twitter na si Nima Nikjoo ang kanyang unang lugar ng trabaho bilang Kavosh Security Center, kung saan siya nagtrabaho mula 2006 hanggang 2014. Sa panahon ng kanyang trabaho, pinag-aralan niya ang iba't ibang malware, at hinarap din ang reverse at obfuscation-related na trabaho.
Impormasyon tungkol sa kumpanyang pinagtrabahuan ni Nima Nikjoo sa LinkedIn:
MuddyWater at mataas na pagpapahalaga sa sarili
Nakakapagtataka na ang grupong MuddyWater ay maingat na sinusubaybayan ang lahat ng mga ulat at mensahe mula sa mga eksperto sa seguridad ng impormasyon na inilathala tungkol sa kanila, at kahit na sadyang nag-iwan ng mga maling flag sa simula upang itapon ang mga mananaliksik sa amoy. Halimbawa, nilinlang ng kanilang mga unang pag-atake ang mga eksperto sa pamamagitan ng pagtukoy sa paggamit ng DNS Messenger, na karaniwang nauugnay sa pangkat ng FIN7. Sa iba pang mga pag-atake, nagpasok sila ng mga Chinese string sa code.
Bilang karagdagan, ang grupo ay gustong mag-iwan ng mga mensahe para sa mga mananaliksik. Halimbawa, hindi nila nagustuhan na inilagay ng Kaspersky Lab ang MuddyWater sa ika-3 puwesto sa rating ng pagbabanta nito para sa taon. Kasabay nito, may isang tao - marahil ang pangkat ng MuddyWater - nag-upload ng PoC ng isang pagsasamantala sa YouTube na hindi pinapagana ang LK antivirus. Nag-iwan din sila ng komento sa ilalim ng artikulo.
Mga screenshot ng video sa hindi pagpapagana ng Kaspersky Lab antivirus at ang komentaryo sa ibaba:
Mahirap pa ring gumawa ng hindi malabo na konklusyon tungkol sa pagkakasangkot ng "Nima Nikjoo". Isinasaalang-alang ng mga eksperto ng Group-IB ang dalawang bersyon. Si Nima Nikjoo, sa katunayan, ay maaaring isang hacker mula sa grupong MuddyWater, na nahayag dahil sa kanyang kapabayaan at pagtaas ng aktibidad sa network. Ang ikalawang opsyon ay sadyang siya ay "ibinulgar" ng ibang mga miyembro ng grupo upang ilihis ang hinala sa kanilang sarili. Sa anumang kaso, ang Group-IB ay nagpapatuloy sa kanilang pananaliksik at tiyak na mag-uulat ng mga resulta nito.
Tulad ng para sa mga Iranian APT, pagkatapos ng sunud-sunod na pagtagas at pagtagas, malamang na mahaharap sila sa isang seryosong "debriefing" - mapipilitan ang mga hacker na seryosong baguhin ang kanilang mga tool, linisin ang kanilang mga track at maghanap ng mga posibleng "moles" sa kanilang mga hanay. Hindi ibinukod ng mga eksperto na mag-timeout pa sila, ngunit pagkatapos ng maikling pahinga, nagpatuloy muli ang pag-atake ng Iranian APT.
Pinagmulan: www.habr.com