Eron hukumatparast xakerlar katta muammoga duch kelishmoqda. Bahor davomida noma’lum shaxslar Telegram’da “maxfiy sizdirishlar”ni – Eron hukumati bilan aloqador APT guruhlari haqidagi ma’lumotlarni e’lon qilishdi. OilRig и MuddyWater — ularning asboblari, qurbonlari, aloqalari. Lekin hamma haqida emas. Aprel oyida Group-IB mutaxassislari turk qurolli kuchlari uchun taktik harbiy radiolar va elektron mudofaa tizimlarini ishlab chiqaruvchi turk korporatsiyasi ASELSAN A.Ş.ning pochta manzillari sizib chiqqanini aniqladi. Anastasiya Tixonova, Group-IB Kengaytirilgan tahdid tadqiqot guruhi rahbari, va Nikita Rostovtsev, Group-IB kichik tahlilchisi, ASELSAN A.Şga qilingan hujumning borishini tasvirlab berdi va ehtimoliy ishtirokchi topdi. MuddyWater.
Telegram orqali yoritish
Eron APT guruhlari sızıntısı ma'lum bir Lab Dukhtegan ekanligi bilan boshlandi oltita APT34 vositalarining (aka OilRig va HelixKitten) manba kodlari operatsiyalarda ishtirok etgan IP-manzillar va domenlarni, shuningdek, Etihad Airways va Emirates National Oil kabi xakerlarning 66 qurboni haqidagi ma'lumotlarni ochib berdi. Lab Doookhtegan, shuningdek, guruhning o'tmishdagi operatsiyalari va Eron Axborot va Milliy Xavfsizlik vazirligining guruh operatsiyalari bilan bog'liqligi taxmin qilinayotgan xodimlari haqidagi ma'lumotlarni oshkor qildi. OilRig Eron bilan bogʻliq APT guruhi boʻlib, taxminan 2014-yildan beri mavjud boʻlib, hukumat, moliyaviy va harbiy tashkilotlar, shuningdek, Yaqin Sharq va Xitoydagi energetika va telekommunikatsiya kompaniyalarini nishonga oladi.
OilRig fosh bo‘lgach, sizib chiqish davom etdi - Erondan boshqa davlatparast guruh MuddyWater faoliyati haqidagi ma’lumotlar darknet va Telegram’da paydo bo‘ldi. Biroq, birinchi oqishdan farqli o'laroq, bu safar manba kodlari emas, balki manba kodlarining skrinshotlari, boshqaruv serverlari, shuningdek, xakerlarning o'tmishdagi qurbonlarining IP-manzillarini o'z ichiga olgan dumplar e'lon qilindi. Bu safar Green Leakers xakerlari MuddyWater haqidagi ma'lumotlarning sizib chiqishi uchun javobgarlikni o'z zimmalariga olishdi. Ular MuddyWater operatsiyalari bilan bog'liq ma'lumotlarni reklama qiladigan va sotadigan bir nechta Telegram kanallari va darknet saytlariga ega.
Yaqin Sharqdan kiber josuslar
MuddyWater 2017-yildan beri Yaqin Sharqda faoliyat yuritib kelayotgan guruhdir. Masalan, Group-IB ekspertlarining taʼkidlashicha, 2019-yilning fevralidan apreligacha xakerlar Turkiya, Eron, Afgʻoniston, Iroq va Ozarbayjondagi hukumat, taʼlim tashkilotlari, moliyaviy, telekommunikatsiya va mudofaa kompaniyalariga qaratilgan bir qator fishing joʻnatmalarini amalga oshirgan.
Guruh a'zolari PowerShell-ga asoslangan o'zlarining rivojlanish orqa eshiklaridan foydalanadilar POWERSTATLAR. U qila oladi:
- mahalliy va domen hisoblari, mavjud fayl serverlari, ichki va tashqi IP manzillari, nomi va OS arxitekturasi haqida ma'lumotlarni to'plash;
- masofaviy kodni bajarish;
- C&C orqali fayllarni yuklash va yuklab olish;
- zararli fayllarni tahlil qilishda foydalaniladigan disk raskadrovka dasturlari mavjudligini aniqlash;
- zararli fayllarni tahlil qilish dasturlari topilsa, tizimni o'chirib qo'ying;
- mahalliy disklardan fayllarni o'chirish;
- skrinshotlarni olish;
- Microsoft Office mahsulotlarida xavfsizlik choralarini o'chirib qo'ying.
Bir nuqtada hujumchilar xatoga yo'l qo'yishdi va ReaQta tadqiqotchilari Tehronda joylashgan yakuniy IP-manzilni olishga muvaffaq bo'lishdi. Guruh tomonidan hujumga uchragan nishonlar, shuningdek, uning kiberjosuslik bilan bogʻliq maqsadlari hisobga olinsa, ekspertlar guruh Eron hukumati manfaatlarini himoya qilishini taxmin qilishdi.
Hujum ko'rsatkichlariC&C:
- gladiyator[.]tk
- 94.23.148[.]194
- 192.95.21[.]28
- 46.105.84[.]146
- 185.162.235[.]182
Fayllar:
- 09aabd2613d339d90ddbd4b7c09195a9
- cfa845995b851aacdf40b8e6a5b87ba7
- a61b268e9bc9b7e6c9125cdbfb1c422a
- f12bab5541a7d8ef4bbca81f6fc835a3
- a066f5b93f4ac85e9adfe5ff3b10bc28
- 8a004e93d7ee3b26d94156768bc0839d
- 0638adf8fb4095d60fbef190a759aa9e
- eed599981c097944fa143e7d7f7e17b1
- 21aebece73549b3c4355a6060df410e9
- 5c6148619abb10bb3789dcfb32f759a6
Turkiya hujum ostida
10-yilning 2019-aprelida Group-IB mutaxassislari Turkiyaning harbiy elektronika sohasidagi eng yirik kompaniyasi ASELSAN A.Ş turk kompaniyasining pochta manzillari sizib chiqqanini aniqladi. Uning mahsulotlariga radar va elektronika, elektro-optika, avionika, uchuvchisiz tizimlar, quruqlik, dengiz, qurol va havo hujumidan mudofaa tizimlari kiradi.
POWERSTATS zararli dasturiy ta'minotining yangi namunalaridan birini o'rganib chiqqan Group-IB mutaxassislari MuddyWater tajovuzkorlar guruhi axborot va mudofaa texnologiyalari sohasida yechimlar ishlab chiqaruvchi Koch Savunma kompaniyasi va Tubitak Bilgem o'rtasidagi litsenziya shartnomasini o'lja sifatida ishlatganini aniqladilar. , axborot xavfsizligi tadqiqot markazi va ilg'or texnologiyalar. Koch Savunma bilan bog'langan shaxs Koç Bilgi ve Savunma Teknolojileri A.Ş.da Dasturlar menejeri lavozimida ishlagan Tohir Taner Timish edi. 2013 yil sentyabrdan 2018 yil dekabrgacha. Keyinchalik ASELSAN A.Ş.da ishlay boshladi.
Hujjat namunasi
Foydalanuvchi zararli makroslarni faollashtirgandan so'ng, POWERSTATS backdoor jabrlanuvchining kompyuteriga yuklab olinadi.
Ushbu yolg'on hujjatning metama'lumotlari tufayli (MD5: 0638adf8fb4095d60fbef190a759aa9e) tadqiqotchilar bir xil qiymatlarni o'z ichiga olgan uchta qo'shimcha namunani topishga muvaffaq bo'lishdi, jumladan yaratilish sanasi va vaqti, foydalanuvchi nomi va makrolar ro'yxati:
- ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
- asd.doc (21aebece73549b3c4355a6060df410e9)
- F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Turli xil yolg'on hujjatlarining bir xil metama'lumotlarining skrinshoti
Nomi bilan topilgan hujjatlardan biri ListOfHackedEmails.doc domenga tegishli 34 ta elektron pochta manzillari ro'yxatini o'z ichiga oladi @aselsan.com.tr.
Group-IB mutaxassislari e-pochta manzillarini ommaga oshkor bo‘lgan oqishlarda tekshirib ko‘rdi va ulardan 28 tasi avvalroq aniqlangan oqishlarda buzilganligini aniqladi. Mavjud oqishlar aralashmasini tekshirish ushbu domen bilan bog'langan 400 ga yaqin noyob login va ular uchun parollarni ko'rsatdi. Hujumchilar ushbu ochiq ma'lumotlardan ASELSAN A.Ş.ga hujum qilish uchun foydalangan bo'lishi mumkin.
ListOfHackedEmails.doc hujjatining skrinshoti
Ommaviy sizib chiqishda 450 dan ortiq aniqlangan login-parol juftliklari roʻyxatining skrinshoti
Topilgan namunalar orasida sarlavhali hujjat ham bor edi F35-Specifications.doc, F-35 qiruvchi samolyotiga ishora qilmoqda. O'lja hujjati F-35 ko'p maqsadli qiruvchi-bombardimonchi uchun spetsifikatsiya bo'lib, samolyotning xususiyatlari va narxini ko'rsatadi. Ushbu hiyla-nayrang hujjatining mavzusi Turkiyaning S-35 tizimlarini sotib olganidan so'ng AQShning F-400larni etkazib berishdan bosh tortishi va F-35 Lightning II haqidagi ma'lumotlarni Rossiyaga o'tkazish tahdidi bilan bevosita bog'liq.
Olingan barcha ma'lumotlar MuddyWater kiberhujumlarining asosiy maqsadi Turkiyada joylashgan tashkilotlar ekanligini ko'rsatdi.
Gladiyator_CRK va Nima Nikjoo kimlar?
Avvalroq, 2019-yilning mart oyida bir Windows foydalanuvchisi tomonidan Gladiyator_CRK taxallusi ostida yaratilgan zararli hujjatlar aniqlangan edi. Ushbu hujjatlar, shuningdek, POWERSTATS backdoor-ni tarqatdi va shunga o'xshash nomdagi C&C serveriga ulandi gladiyator[.]tk.
Bu nima Nikjoo foydalanuvchisi 14-yil 2019-mart kuni Twitter’da MuddyWater bilan bog‘liq tushunarsiz kodni dekodlashga uringanidan keyin qilingan bo‘lishi mumkin. Ushbu tvitga izohlarda tadqiqotchi ushbu zararli dastur uchun murosa ko'rsatkichlarini baham ko'ra olmasligini aytdi, chunki bu ma'lumotlar maxfiydir. Afsuski, post allaqachon o'chirilgan, ammo uning izlari onlaynda qolmoqda:
Nima Nikjoo Eronning dideo.ir va videoi.ir videoxosting saytlaridagi Gladiyator_CRK profilining egasi. Ushbu saytda u turli ishlab chiqaruvchilarning antivirus vositalarini o'chirish va qum qutilarini chetlab o'tish uchun PoC ekspluatatsiyasini namoyish etadi. Nima Nikjoo o'zi haqida yozadi, u tarmoq xavfsizligi bo'yicha mutaxassis, shuningdek, Eron telekommunikatsiya kompaniyasi MTN Irancellda ishlaydigan teskari muhandis va zararli dasturlar tahlilchisi.
Google qidiruv natijalarida saqlangan videolarning skrinshoti:
Keyinchalik, 19-yil 2019-mart kuni Twitter ijtimoiy tarmog‘idagi Nima Nikjoo foydalanuvchisi o‘zining laqabini Malware Fighterga o‘zgartirdi, shuningdek, tegishli postlar va izohlarni o‘chirib tashladi. Gladiyator_CRK ning dideo.ir videoxostingidagi profili ham xuddi YouTube’dagi kabi o‘chirib tashlandi va profilning o‘zi N Tabrizi deb nomlandi. Biroq, deyarli bir oy o'tgach (16 yil 2019 aprel) Twitter akkaunti yana Nima Nikjoo nomidan foydalana boshladi.
Tadqiqot davomida Group-IB mutaxassislari Nima Nikjoo allaqachon kiberjinoyatchilik faoliyatida tilga olinganini aniqladi. 2014-yil avgust oyida Iran Khabarestan blogida Eron Nasr Instituti kiberjinoyatchilik guruhiga aloqador shaxslar haqidagi maʼlumotlar eʼlon qilindi. FireEye tekshiruvlaridan biri Nasr instituti APT33 uchun pudratchi bo‘lganini va Ababil operatsiyasi doirasida 2011-2013 yillar oralig‘ida AQSh banklariga DDoS hujumlarida ham ishtirok etganini aytdi.
Xuddi shu blogda eronliklarga josuslik qilish uchun zararli dastur ishlab chiqayotgan Nima Nikju-Nikju va uning elektron pochta manzili: gladiyator_cracker@yahoo[.]com haqida so‘z yuritilgan.
Eron Nasr instituti kiberjinoyatchilarga tegishli ma'lumotlarning skrinshoti:
Belgilangan matnning rus tiliga tarjimasi: Nima Nikio - josuslik dasturini ishlab chiquvchi - elektron pochta:.
Ushbu ma'lumotlardan ko'rinib turibdiki, elektron pochta manzili hujumlarda foydalanilgan manzil va Gladiyator_CRK va Nima Nikjoo foydalanuvchilari bilan bog'langan.
Bundan tashqari, 15-yil 2017-iyundagi maqolada Nikjoo o‘z rezyumelarida Kavosh xavfsizlik markaziga havolalarni joylashtirishda biroz beparvolik qilgani aytilgan. Yemoq Kavosh xavfsizlik markazi hukumatparast xakerlarni moliyalash uchun Eron davlati tomonidan qo'llab-quvvatlanadi.
Nima Nikjoo ishlagan kompaniya haqida ma'lumot:
Twitter foydalanuvchisi Nima Nikjooning LinkedIn profilida uning birinchi ish joyi Kavosh xavfsizlik markazi sifatida ko‘rsatilgan va u 2006 yildan 2014 yilgacha shu yerda ishlagan. Ish paytida u turli xil zararli dasturlarni o'rgandi, shuningdek, teskari va chalkashlik bilan bog'liq ishlar bilan shug'ullandi.
Nima Nikjoo LinkedInda ishlagan kompaniya haqida ma'lumot:
MuddyWater va o'zini yuqori hurmat qilish
Qizig'i shundaki, MuddyWater guruhi ular haqida e'lon qilingan axborot xavfsizligi bo'yicha mutaxassislarning barcha hisobotlari va xabarlarini diqqat bilan kuzatib boradi va hatto tadqiqotchilarni hiddan chiqarish uchun dastlab ataylab yolg'on bayroqlarni qoldirgan. Misol uchun, ularning birinchi hujumlari odatda FIN7 guruhi bilan bog'liq bo'lgan DNS Messenger-dan foydalanishni aniqlash orqali mutaxassislarni yo'ldan ozdirdi. Boshqa hujumlarda ular kodga xitoycha satrlarni kiritdilar.
Bundan tashqari, guruh tadqiqotchilar uchun xabarlar qoldirishni yaxshi ko'radi. Masalan, Kasperskiy laboratoriyasi yil davomida tahdidlar reytingida MuddyWater kompaniyasini 3-o‘ringa qo‘ygani ularga yoqmadi. Ayni paytda kimdir - ehtimol MuddyWater guruhi - LK antivirusini o'chirib qo'yuvchi ekspluatatsiyaning PoC-ni YouTube-ga yukladi. Maqola ostida ham izoh qoldirganlar.
Kasperskiy laboratoriyasi antivirusini o'chirish haqidagi videoning skrinshotlari va quyidagi izoh:
“Nima Nikjoo”ning ishtiroki haqida aniq xulosa chiqarish hali ham qiyin. Group-IB ekspertlari ikkita versiyani ko'rib chiqmoqdalar. Nima Nikjoo, haqiqatan ham, MuddyWater guruhining xakeri bo'lishi mumkin, u o'zining beparvoligi va tarmoqdagi faolligi oshishi tufayli paydo bo'lgan. Ikkinchi variant esa, shubhani o'zlaridan chalg'itish uchun uni guruhning boshqa a'zolari ataylab "fosh qilishgan". Qanday bo'lmasin, Group-IB o'z tadqiqotlarini davom ettirmoqda va natijalarini albatta xabar qiladi.
Eron APTlariga kelsak, bir qator oqish va sizib chiqishlardan so'ng, ular jiddiy "debriefing" ga duch kelishlari mumkin - xakerlar o'z vositalarini jiddiy ravishda o'zgartirishga, izlarini tozalashga va o'z saflarida mumkin bo'lgan "mollar" ni topishga majbur bo'lishadi. Mutaxassislar hatto taym-aut olishlarini ham istisno qilishmadi, biroq qisqa tanaffusdan so'ng Eron APT hujumlari yana davom etdi.
Manba: www.habr.com