Іранські продержавні хакери мають великі проблеми. Усю весну невідомі публікували в Telegram «таємні сливи» — інформацію про пов'язані з урядом Ірану APT-групи. Бурова и Мутна вода — їх інструменти, жертви, зв'язки. Але не про всіх. У квітні фахівці Group-IB виявили витік поштових адрес турецької корпорації ASELSAN A.Ş, що займається виробництвом тактичних військових радіостанцій та електронних систем оборони для збройних сил Туреччини. Анастасія Тихонова, керівник групи дослідження складних загроз Group-IB, та Микита Ростовцев, молодший аналітик Group-IB, описали хід атаки на ASELSAN A.Ş і знайшли можливого учасника Мутна вода.
Засвітлення через Telegram
"Злив" іранських APT-груп почався з того, що хтось Lab Dookhtegan вихідні коди шести інструментів APT34 (вона ж OilRig і HelixKitten), розкрив IP-адреси та домени, що беруть участь в операціях, а також дані про 66 жертв хакерів, серед яких опинилися компанії Etihad Airways та Emirates National Oil. Також Lab Dookhtegan «злив» і дані про минулі операції групи та інформацію про співробітників Міністерства інформації та національної безпеки Ірану, які нібито пов'язані з операціями угруповання. OilRig - це пов'язана з Іраном APT-група, яка існує приблизно з 2014 року і націлена на урядові, фінансові та військові організації, а також енергетичні та телекомунікаційні компанії на Близькому Сході та Китаї.
Після засвітки OilRig «сливи» продовжилися — у даркнеті та в Telegram з'явилася інформація про діяльність іншої продержавної групи з Ірану — MuddyWater. Однак, на відміну від першого витоку, цього разу були опубліковані не вихідні коди, а дампи, що включають скріншоти вихідних серверів, що управляють, а також IP-адреси минулих жертв хакерів. На цей раз відповідальність за витік про MuddyWater взяли на себе хакери Green Leakers. Їм належать кілька Telegram-каналів та сайтів у даркнеті, де вони рекламують та продають дані, пов'язані з операціями MuddyWater.
Кібершпигуни з Middle East
Мутна вода - Це група, яка діє з 2017 року в країнах Middle East. Наприклад, як зазначають фахівці Group-IB, у період з лютого до квітня 2019 року хакери провели серію фішингових розсилок, націлених на урядові, освітні організації, фінансові, телекомунікаційні та оборонні компанії Туреччини, Ірану, Афганістану, Іраку та Азербайджану.
Учасники групи використовують бекдор власної розробки на основі PowerShell, який отримав назву POWERSTATS. Він може:
- збирати дані про локальні та доменні облікові записи, доступні файлові сервери, внутрішню і зовнішню IP-адресу, назву та архітектуру ОС;
- здійснювати віддалене виконання коду;
- здійснювати завантаження та вивантаження файлів через C&C;
- визначати наявність налагоджувальних програм, що використовуються під час аналізу шкідливих файлів;
- відключати систему, якщо знайдено програми для аналізу шкідливих файлів;
- видаляти файли з локальних дисків;
- робити скріншоти;
- вимикати захисні заходи продуктів Microsoft Office.
У якийсь момент зловмисники припустилися помилки і дослідникам з компанії ReaQta вдалося отримати кінцеву IP-адресу, яка знаходилася в Тегерані. Враховуючи цілі, атаковані групою, а також її завдання, пов'язані з кібершпигунством, фахівці припустили, що група представляє інтереси уряду Ірану.
Індикатори атакC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
файли:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Туреччина під прицілом
10 квітня 2019 року фахівці Group-IB виявили витік поштових адрес турецької компанії ASELSAN A.Ş — найбільшої компанії у сфері військової електроніки в Туреччині. Серед її продуктів – радари та радіоелектронні засоби, електрооптика, авіоніка, безпілотні системи, наземні, військово-морські та збройові системи, а також системи протиповітряної оборони.
Вивчаючи один з нових зразків шкідливої програми POWERSTATS, експерти Group-IB встановили, що група зловмисників MuddyWater використовувала як документ-приманку ліцензійну угоду між Koç Savunma, компанією-виробником рішень у галузі інформаційних та оборонних технологій, та Tubitak Bilgem дослідницьким центром інформаційної безпеки передових технологій. Як контактна особа, яка виступає від Koç Savunma, був вказаний Tahir Taner Tımış, який обіймав посаду Programs Manager у Koç Bilgi ve Savunma Teknolojileri A.Ş. з вересня 2013 року до грудня 2018 року. Пізніше він почав працювати в ASELSAN A.Ş.
Зразок документа-приманки
Після того, як користувач активує шкідливі макроси, на комп'ютер жертви завантажується бекдор POWERSTATS.
Завдяки метаданим цього документа-приманки (MD5: 0638adf8fb4095d60fbef190a759aa9e) дослідники змогли знайти три додаткові зразки, що містять ідентичні значення, серед яких дата і час створення, ім'я користувача і список макросів, що містяться:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Скріншот ідентичних метаданих різних документів-приманок
Один із виявлених документів з ім'ям ListOfHackedEmails.doc містить список із 34 поштових адрес, що належать домену @aselsan.com.tr.
Фахівці Group-IB перевірили поштові адреси у витоках, які перебувають у публічному доступі, та виявили, що 28 із них були скомпрометовані у раніше виявлених витоках. Перевірка міксу з доступних витоків показала близько 400 унікальних логінів, пов'язаних із цим доменом, та паролів до них. Можливо, зловмисники скористалися цими даними з відкритого доступу для атаки на ASELSAN A.Ş.
Скріншот документа ListOfHackedEmails.doc
Скріншот списку з більш ніж 450 виявлених пар логін-пароль у публічних витоках
Серед виявлених зразків також виявився документ із назвою F35-Specifications.doc, що відсилає до винищувача F-35 Документ-приманка є специфікацією багатофункціональних винищувачів-бомбардувальників F-35 із зазначенням характеристик літаків і ціною. Тема даного документа-приманки безпосередньо відноситься до відмови США поставляти F-35 після купівлі Туреччиною комплексів С-400 та загрози передачі Росії відомостей про F-35 Lightning II.
Всі отримані дані говорили про те, що головною метою кібератак MuddyWater стали організації, розташовані в Туреччині.
Хто такі Gladiyator_CRK та Nima Nikjoo?
Раніше, у березні 2019 року, було виявлено шкідливі документи, створені одним користувачем Windows під ніком Gladiyator_CRK. Дані документи також розповсюджували бекдор POWERSTATS і підключалися до C&C-сервера зі схожою назвою gladiyator[.]tk.
Можливо, це було зроблено після того, як 14 березня 2019 року користувач Nima Nikjoo опублікував у Twitter запис, в якому він намагається декодувати обфусцований код, пов'язаний з MuddyWater. У коментарях до цього твіту дослідник сказав, що не може поділитися індикаторами компрометації цієї шкідливої програми, оскільки ця інформація є конфіденційною. На жаль, запис вже видалено, але залишилися його сліди в мережі:
Nima Nikjoo - власник профілю Gladiyator_CRK на іранських відеохостингах dideo.ir та videoi.ir. На цьому сайті він демонструє PoC експлойтів для відключення антивірусних засобів різних вендорів та обходу пісочниць. Про себе Nima Nikjoo пише, що він є фахівцем у галузі мережевої безпеки, а також реверс-інженером та аналітиком шкідливих програм, який працює в MTN Irancell – іранська телекомунікаційна компанія.
Скриншот збережених відео у пошуковій видачі Google:
Пізніше, 19 березня 2019 року, користувач Nima Nikjoo у соціальній мережі Twitter змінив свій нікнейм на Malware Fighter, а також видалив пов'язані пости та коментарі. Профіль Gladiyator_CRK на відео-хостингу dideo.ir також був видалений, як і на YouTube, а сам профіль перейменований на N Tabrizi. Однак майже через місяць (16 квітня 2019 року) аккаунт у Twitter знову став використовувати ім'я Nima Nikjoo.
У ході дослідження фахівці Group-IB виявили, що Nima Nikjoo вже згадувався через кіберзлочинну діяльність. У серпні 2014 року в блозі Iran Khabarestan була опублікована інформація про осіб, пов'язаних із кіберзлочинною групою Iranian Nasr Institute. В одному з досліджень FireEye говорилося, що Nasr Institute був підрядником APT33, а також брав участь у DDoS-атаках на американські банки в період з 2011 до 2013 року в рамках кампанії під назвою Operation Ababil.
Так ось у цьому ж блозі згадувався Nima Nikju-Nikjoo, який займався розробкою шкідливих програм, щоб шпигувати за іранцями, та його адресу електронної пошти: gladiyator_cracker@yahoo[.]com.
Скріншот даних, які відносять до кіберзлочинців з Iranian Nasr Institute:
Переклад виділеного російською: Німа Нікіо - Розробник шпигунських програм - Адреса електронної пошти:.
Як видно з цієї інформації, електронна адреса має зв'язок з адресою, яка використовується в атаках, та користувачами Gladiyator_CRK та Nima Nikjoo.
Крім того, у статті від 15 червня 2017 року говорилося, що Nikjoo виявився дещо недбалим, публікуючи посилання на компанію Kavosh Security Center у своєму резюме. Є , що організація Kavosh Security Center підтримується іранською державою для фінансування проурядових хакерів
Інформація про компанію, в якій працював Nima Nikjoo:
У профілі на LinkedIn у користувача з Twitter Nima Nikjoo першим місцем роботи вказано Kavosh Security Center, де він пропрацював з 2006 по 2014 рік. За час роботи він вивчив різні шкідливі програми, а також мав справу з реверсом та роботами, пов'язаними з обфускацією.
Інформація про компанію, в якій працював Nima Nikjoo, на LinkedIn:
MuddyWater та завищена самооцінка
Цікаво, що група MuddyWater уважно моніторить усі звіти та повідомлення експертів інформаційної безпеки, що публікуються про них, і навіть спеціально спочатку залишала фальшиві прапори, щоб збити дослідників зі сліду. Наприклад, їхні перші атаки ввели експертів в оману, оскільки було виявлено використання DNS Messenger, який зв'язували з групою FIN7. В інших атаках вони вставляли в код рядка китайською.
Крім того, група дуже любить залишати дослідникам послання. Наприклад, їм не сподобалося, що «Лабораторія Касперського» у своєму рейтингу погроз за рік помістила MuddyWater на 3 місце. У той же момент хтось — імовірно, група MuddyWater — завантажив на YouTube PoC експлойта, що відключає антивірус «ЛК». Вони ж залишили коментар під статтею.
Скріншоти відео з відключення антивірусу «Лабораторії Касперського» та коментаря під ним:
Поки що складно зробити однозначний висновок про причетність «Nima Nikjoo». Експерти Group-IB розглядають дві версії. Nima Nikjoo, справді, може бути хакером із групи MuddyWater, який засвітився через свою недбалість та підвищену активність у мережі. Другий варіант - його спеціально "засвітили" інші учасники групи, щоб відвести від себе підозру. У будь-якому випадку Group-IB продовжує своє дослідження та обов'язково повідомить про його результати.
Що стосується іранських APT, то після серії витоків та зливів на них ймовірно чекає серйозний «розбір польотів» — хакери будуть змушені серйозно змінити свій інструментарій, підчистити сліди і знайти у своїх рядах можливих «кротів». Експерти не виключали, що вони навіть візьмуть тайм-аут, але після невеликої перерви атаки іранських APT знову продовжилися.
Джерело: habr.com