Çamurlu sular: MuddyWater'dan gelen hackerlar bir Türk askeri elektronik üreticisine nasıl saldırdı?

İranlı hükümet yanlısı hackerların başı büyük dertte. İlkbahar boyunca, kimliği bilinmeyen kişiler Telegram'da İran hükümetiyle bağlantılı APT grupları hakkında "gizli sızıntılar" yayınladı. Sondaj kulesi и Çamurlu su — araçları, kurbanları, bağlantıları. Ama herkes hakkında değil. Nisan ayında Grup-IB uzmanları, Türk silahlı kuvvetleri için taktik askeri telsizler ve elektronik savunma sistemleri üreten Türk şirketi ASELSAN A.Ş'nin posta adreslerinin sızdırıldığını keşfetti. Anastasia Tikhonova, Group-IB Gelişmiş Tehdit Araştırması Ekip Lideri ve Nikita RostovtsevGroup-IB Kıdemli Analisti, ASELSAN A.Ş'ye yapılan saldırının gidişatını anlattı ve olası bir katılımcıyı buldu Çamurlu su.

Telegram aracılığıyla aydınlatma

İranlı APT gruplarının sızdırılması, belirli bir Lab Doukhtegan'ın ortaya çıkmasıyla başladı. açıkladı Altı APT34 aracının (diğer adıyla OilRig ve HelixKitten) kaynak kodları, operasyonlarda yer alan IP adreslerini ve etki alanlarını ve ayrıca Etihad Airways ve Emirates National Oil dahil olmak üzere bilgisayar korsanlarının 66 kurbanına ilişkin verileri ortaya çıkardı. Lab Doookhtegan ayrıca grubun geçmiş operasyonları hakkındaki verileri ve grubun operasyonlarıyla ilişkili olduğu iddia edilen İran Bilgi ve Ulusal Güvenlik Bakanlığı çalışanları hakkındaki bilgileri de sızdırdı. OilRig, yaklaşık 2014'ten beri varlığını sürdüren İran bağlantılı bir APT grubudur ve Orta Doğu ve Çin'deki hükümet, mali ve askeri kuruluşların yanı sıra enerji ve telekomünikasyon şirketlerini de hedef almaktadır.

OilRig açığa çıktıktan sonra sızıntılar devam etti; İran'daki başka bir devlet yanlısı grup olan MuddyWater'ın faaliyetleri hakkında bilgiler darknet'te ve Telegram'da ortaya çıktı. Ancak, ilk sızıntıdan farklı olarak bu sefer yayınlananlar kaynak kodları değil; kaynak kodlarının, kontrol sunucularının ve ayrıca bilgisayar korsanlarının geçmişteki kurbanlarının IP adreslerinin ekran görüntülerinin de dahil olduğu dökümler yayınlandı. MuddyWater ile ilgili sızıntının sorumluluğunu bu sefer Green Leakers hackerları üstlendi. MuddyWater operasyonlarıyla ilgili verilerin reklamını yaptıkları ve sattıkları çeşitli Telegram kanallarına ve darknet sitelerine sahipler.

Orta Doğu'dan siber casuslar

Çamurlu su Ortadoğu’da 2017 yılından bu yana faaliyet gösteren bir gruptur. Örneğin, Group-IB uzmanlarının belirttiği gibi, Şubat ayından Nisan 2019'a kadar bilgisayar korsanları Türkiye, İran, Afganistan, Irak ve Azerbaycan'daki hükümet, eğitim kuruluşları, finans, telekomünikasyon ve savunma şirketlerini hedef alan bir dizi kimlik avı e-postası gerçekleştirdi.

Grup üyeleri, PowerShell'e dayalı olarak kendi geliştirdikleri bir arka kapıyı kullanırlar. GÜÇ İSTATİSTİKLERİ. Yapabilir:

• yerel ve etki alanı hesapları, kullanılabilir dosya sunucuları, dahili ve harici IP adresleri, ad ve işletim sistemi mimarisi hakkında veri toplamak;
• uzaktan kod yürütmeyi gerçekleştirin;
• C&C yoluyla dosyaları yükleyin ve indirin;
• kötü amaçlı dosyaların analizinde kullanılan hata ayıklama programlarının varlığını tespit etmek;
• kötü amaçlı dosyaları analiz etmeye yönelik programlar bulunursa sistemi kapatın;
• dosyaları yerel sürücülerden silin;
• ekran görüntüleri alın;
• Microsoft Office ürünlerindeki güvenlik önlemlerini devre dışı bırakın.

Bir noktada saldırganlar bir hata yaptı ve ReaQta'dan araştırmacılar Tahran'da bulunan nihai IP adresini almayı başardılar. Grubun saldırdığı hedeflerin yanı sıra siber casuslukla ilgili hedefleri göz önüne alındığında uzmanlar, grubun İran hükümetinin çıkarlarını temsil ettiğini öne sürüyor.

Saldırı göstergeleriC&C:

• gladyatör[.]tk
• 94.23.148[.]194
• 192.95.21[.]28
• 46.105.84[.]146
• 185.162.235[.]182

dosyalar:

• 09aabd2613d339d90ddbd4b7c09195a9
• cfa845995b851aacdf40b8e6a5b87ba7
• a61b268e9bc9b7e6c9125cdbfb1c422a
• f12bab5541a7d8ef4bbca81f6fc835a3
• a066f5b93f4ac85e9adfe5ff3b10bc28
• 8a004e93d7ee3b26d94156768bc0839d
• 0638adf8fb4095d60fbef190a759aa9e
• eed599981c097944fa143e7d7f7e17b1
• 21aebece73549b3c4355a6060df410e9
• 5c6148619abb10bb3789dcfb32f759a6

Türkiye saldırı altında

10 Nisan 2019'da Grup-IB uzmanları, askeri elektronik alanında Türkiye'nin en büyük şirketi olan Türk şirketi ASELSAN A.Ş'nin posta adreslerinin sızdırıldığını keşfetti. Ürünleri arasında radar ve elektronik, elektro-optik, aviyonik, insansız sistemler, kara, deniz, silahlar ve hava savunma sistemleri yer alıyor.

POWERSTATS zararlı yazılımının yeni örneklerinden birini inceleyen Group-IB uzmanları, MuddyWater saldırgan grubunun, bilgi ve savunma teknolojileri alanında çözüm üreten Koç Savunma ile Tübitak Bilgem arasında yapılan lisans anlaşmasını yem olarak kullandığını belirledi. , bir bilgi güvenliği araştırma merkezi ve ileri teknolojiler. Koç Savunma'nın irtibat kişisi, Koç Bilgi ve Savunma Teknolojileri A.Ş.'de Programlar Müdürü olarak görev yapan Tahir Taner Tımış'tı. Eylül 2013'ten Aralık 2018'e kadar. Daha sonra ASELSAN A.Ş.'de çalışmaya başladı.

Örnek tuzak belgesi
Kullanıcı kötü amaçlı makroları etkinleştirdikten sonra POWERSTATS arka kapısı kurbanın bilgisayarına indirilir.

Bu sahte belgenin meta verileri sayesinde (MD5: 0638adf8fb4095d60fbef190a759aa9e) araştırmacılar, oluşturulma tarihi ve saati, kullanıcı adı ve aşağıdaki makroların listesi dahil olmak üzere aynı değerleri içeren üç ek örnek bulmayı başardılar:

• ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
• asd.doc (21aebece73549b3c4355a6060df410e9)
• F35-Teknik Özellikler.doc (5c6148619abb10bb3789dcfb32f759a6)

Çeşitli sahte belgelerin aynı meta verilerinin ekran görüntüsü

Keşfedilen belgelerden biri ListOfHackedEmails.doc alana ait 34 e-posta adresinin bir listesini içerir @aselsan.com.tr.

Group-IB uzmanları, kamuya açık sızıntılardaki e-posta adreslerini kontrol etti ve daha önce keşfedilen sızıntılarda e-posta adreslerinden 28'inin ele geçirildiğini tespit etti. Mevcut sızıntıların karışımı kontrol edildiğinde, bu alanla ilişkili yaklaşık 400 benzersiz oturum açma bilgisi ve bunlara ait şifreler ortaya çıktı. Saldırganların kamuya açık bu verileri kullanarak ASELSAN A.Ş.'ye saldırması mümkündür.

ListOfHackedEmails.doc belgesinin ekran görüntüsü

Genel sızıntılarda tespit edilen 450'den fazla oturum açma-şifre çiftinin yer aldığı listenin ekran görüntüsü
Keşfedilen örnekler arasında şu başlığı taşıyan bir belge de vardı: F35-Teknik Özellikler.docF-35 savaş uçağını kastediyorum. Yem belgesi, F-35 çok rollü avcı-bombardıman uçağı için uçağın özelliklerini ve fiyatını gösteren bir spesifikasyondur. Bu sahte belgenin konusu, Türkiye'nin S-35 sistemlerini satın almasının ardından ABD'nin F-400 tedarikini reddetmesi ve F-35 Lightning II ile ilgili bilgilerin Rusya'ya aktarılması tehdidiyle doğrudan ilgilidir.

Alınan tüm veriler, MuddyWater siber saldırılarının ana hedefinin Türkiye'de bulunan kuruluşlar olduğunu gösterdi.

Gladyator_CRK ve Nima Nikjoo kimdir?

Daha önce, Mart 2019'da, bir Windows kullanıcısı tarafından Gladiyator_CRK takma adı altında oluşturulan kötü amaçlı belgeler keşfedilmişti. Bu belgeler aynı zamanda POWERSTATS arka kapısını da dağıtıyor ve benzer ada sahip bir C&C sunucusuna bağlanıyor gladyatör[.]tk.

Bu, Nima Nikjoo kullanıcısının 14 Mart 2019'da Twitter'da MuddyWater ile ilişkili karmaşık kodu çözmeye çalışan bir gönderi yayınlamasından sonra yapılmış olabilir. Bu tweet'e yapılan yorumlarda araştırmacı, bu bilgilerin gizli olması nedeniyle bu kötü amaçlı yazılıma yönelik tehlike göstergelerini paylaşamayacağını söyledi. Ne yazık ki, gönderi zaten silindi, ancak izleri çevrimiçi durumda:

Nima Nikjoo, İran video barındırma siteleri dideo.ir ve videoi.ir'deki Gladiyator_CRK profilinin sahibidir. Bu sitede, çeşitli satıcıların antivirüs araçlarını devre dışı bırakmak ve sanal alanları atlamak için PoC istismarlarını gösteriyor. Nima Nikjoo kendisi hakkında kendisinin bir ağ güvenliği uzmanı, aynı zamanda İranlı bir telekomünikasyon şirketi olan MTN Irancell'de çalışan bir tersine mühendislik ve kötü amaçlı yazılım analisti olduğunu yazıyor.

Google arama sonuçlarına kaydedilen videoların ekran görüntüsü:

Daha sonra 19 Mart 2019'da sosyal ağ Twitter'daki Nima Nikjoo kullanıcısı, takma adını Malware Fighter olarak değiştirdi ve ilgili gönderileri ve yorumları da sildi. Gladiator_CRK'nin video barındırma dideo.ir'deki profili de YouTube'da olduğu gibi silindi ve profilin adı N Tabrizi olarak değiştirildi. Ancak neredeyse bir ay sonra (16 Nisan 2019) Twitter hesabı yeniden Nima Nikjoo adını kullanmaya başladı.

Çalışma sırasında Grup-IB uzmanları, Nima Nikjoo'nun siber suç faaliyetleriyle bağlantılı olarak zaten bahsedildiğini keşfetti. Ağustos 2014'te İran Khabarestan blogu, siber suç grubu İran Nasr Enstitüsü ile bağlantılı kişiler hakkında bilgi yayınladı. Bir FireEye araştırması, Nasr Enstitüsü'nün APT33'ün yüklenicisi olduğunu ve aynı zamanda Ababil Operasyonu adı verilen bir kampanyanın parçası olarak 2011 ile 2013 yılları arasında ABD bankalarına yönelik DDoS saldırılarına da karıştığını belirtti.

Aynı blogda, İranlılar hakkında casusluk yapmak için kötü amaçlı yazılım geliştiren Nima Nikju-Nikjoo'dan ve onun e-posta adresinden bahsediliyordu: gladiyator_cracker@yahoo[.]com.

İran Nasr Enstitüsü'nden siber suçlulara atfedilen verilerin ekran görüntüsü:

Vurgulanan metnin Rusçaya çevirisi: Nima Nikio - Casus Yazılım Geliştiricisi - E-posta:.

Bu bilgilerden de anlaşılacağı üzere e-posta adresi, saldırılarda kullanılan adres ve Gladiyator_CRK ve Nima Nikjoo kullanıcılarıyla ilişkilendiriliyor.

Ek olarak, 15 Haziran 2017 tarihli makale Nikjoo'nun özgeçmişinde Kavosh Güvenlik Merkezi'ne gönderme yaparken biraz dikkatsiz davrandığını belirtti. Yemek yemek görünümKavosh Güvenlik Merkezi'nin hükümet yanlısı bilgisayar korsanlarını finanse etmek için İran devleti tarafından desteklendiği belirtiliyor.

Nima Nikjoo'nun çalıştığı şirket hakkında bilgi:

Twitter kullanıcısı Nima Nikjoo'nun LinkedIn profilinde ilk çalıştığı yer, 2006'dan 2014'e kadar çalıştığı Kavosh Güvenlik Merkezi olarak listeleniyor. Çalışması sırasında çeşitli kötü amaçlı yazılımlar üzerinde çalıştı ve aynı zamanda tersine çevirme ve gizleme ile ilgili çalışmalarla da ilgilendi.

Nima Nikjoo'nun LinkedIn'de çalıştığı şirket hakkında bilgi:

Çamurlu Su ve yüksek özgüven

MuddyWater grubunun, bilgi güvenliği uzmanlarının kendileri hakkında yayınlanan tüm raporlarını ve mesajlarını dikkatle izlemesi ve hatta araştırmacıları gözden kaçırmak için ilk başta kasıtlı olarak yanıltıcı işaretler bırakması ilginçtir. Örneğin ilk saldırıları, genellikle FIN7 grubuyla ilişkilendirilen DNS Messenger'ın kullanımını tespit ederek uzmanları yanılttı. Diğer saldırılarda koda Çince dizeler eklediler.

Ayrıca grup araştırmacılara mesaj bırakmayı da seviyor. Örneğin Kaspersky Lab'in MuddyWater'ı bu yılki tehdit sıralamasında 3. sıraya yerleştirmesi hoşlarına gitmedi. Aynı anda birisi -muhtemelen MuddyWater grubu- LK antivirüsünü devre dışı bırakan bir istismarın PoC'sini YouTube'a yükledi. Yazının altına da yorum bıraktılar.

Kaspersky Lab antivirüsünün devre dışı bırakılmasına ilişkin videonun ve aşağıdaki yorumun ekran görüntüleri:

“Nima Nikjoo”nun katılımı hakkında kesin bir sonuca varmak hala zor. Grup-IB uzmanları iki versiyonu değerlendiriyor. Nima Nikjoo gerçekten de ihmali ve ağdaki artan etkinliği nedeniyle ortaya çıkan MuddyWater grubundan bir hacker olabilir. İkinci seçenek, şüpheyi kendilerinden uzaklaştırmak için grubun diğer üyeleri tarafından kasıtlı olarak "ifşa edilmesi"dir. Her durumda Group-IB araştırmalarına devam ediyor ve sonuçlarını mutlaka raporlayacak.

İran APT'lerine gelince, bir dizi sızıntı ve sızıntının ardından muhtemelen ciddi bir "bilgilendirme" ile karşı karşıya kalacaklar - bilgisayar korsanları araçlarını ciddi şekilde değiştirmeye, izlerini temizlemeye ve saflarında olası "köstebekler" bulmaya zorlanacaklar. Uzmanlar mola dahi alabileceklerini göz ardı etmedi ancak kısa bir aradan sonra İran'ın APT saldırıları yeniden devam etti.

Kaynak: habr.com