المياه العكرة: كيف هاجم المتسللون من شركة MuddyWater شركة تركية للإلكترونيات العسكرية

يواجه المتسللون الإيرانيون الموالون للحكومة مشكلات كبيرة. طوال الربيع ، نشر أشخاص مجهولون "البرقوق السري" على Telegram - معلومات حول مجموعات APT المرتبطة بالحكومة الإيرانية - OilRig و MuddyWater - أدواتهم وضحاياهم وعلاقاتهم. ولكن ليس عن الجميع. في أبريل ، اكتشف متخصصو Group-IB تسربًا في العناوين البريدية للشركة التركية ASELSAN A.Ş ، التي تنتج محطات إذاعية عسكرية تكتيكية وأنظمة دفاع إلكترونية للقوات المسلحة التركية. وصفت أنستازيا تيخونوفا ، رئيسة مجموعة أبحاث التهديدات المعقدة للمجموعة Group-IB ، ونيكيتا روستوفتسيف ، وهي محللة صغيرة في Group-IB ، مسار الهجوم على ASELSAN A.Ş وعثرت على عضو محتمل في MuddyWater .

التعرض برقية

بدأت "استنزاف" مجموعات APT الإيرانية بحقيقة أن شخصًا ما Lab Dookhtegan كشف النقاب عن الأكواد المصدرية لستة أدوات APT34 (ويعرف أيضًا باسم OilRig و HelixKitten) ، وكشف عناوين IP والمجالات المشاركة في العمليات ، بالإضافة إلى بيانات عن 66 من ضحايا القرصنة وكانت الاتحاد للطيران وشركة الإمارات الوطنية للنفط. قام "مختبر دوكتيغان" أيضًا "بتسريب" كل من البيانات المتعلقة بعمليات المجموعة السابقة ومعلومات عن موظفي وزارة الإعلام والأمن القومي الإيرانية ، والتي يُزعم أنها مرتبطة بعمليات المجموعة. OilRig هي مجموعة APT ذات صلة بإيران ، وهي موجودة منذ عام 2014 وتستهدف المنظمات الحكومية والمالية والعسكرية ، بالإضافة إلى شركات الطاقة والاتصالات في الشرق الأوسط والصين.

بعد الكشف عن OilRig ، استمرت "البرقوق" - على darknet و Telegram ، وظهرت معلومات حول أنشطة جماعة أخرى موالية للحكومة من إيران - MuddyWater. ومع ذلك ، على عكس التسرب الأول ، لم يتم نشر أكواد المصدر هذه المرة ، ولكن مقالب ، بما في ذلك لقطات من رموز المصدر وخوادم التحكم ، وكذلك عناوين IP لضحايا المتسللين السابقين. هذه المرة ، أعلن قراصنة Green Leakers مسؤولية تسرب MuddyWater. يمتلكون العديد من قنوات Telegram ومواقع darknet حيث يقومون بالإعلان عن البيانات المتعلقة بعمليات MuddyWater وبيعها.

Cyberspies مع الشرق الأوسط

MuddyWater هي مجموعة تعمل منذ عام 2017 في دول الشرق الأوسط. على سبيل المثال ، كما لاحظ خبراء Group-IB ، بين فبراير وأبريل 2019 ، قام المتسللون بسلسلة من رسائل البريد الإلكتروني المخادعة التي تستهدف الشركات الحكومية والمؤسسات التعليمية والمالية وشركات الاتصالات والدفاع في تركيا وإيران وأفغانستان والعراق وأذربيجان.

يستخدم أعضاء المجموعة مستتر مملوكًا استنادًا إلى PowerShell ، يطلق عليه POWERSTATS . يستطيع:

• جمع البيانات حول الحسابات المحلية ومجالات ، خوادم الملفات التي يمكن الوصول إليها ، وعنوان IP الداخلي والخارجي ، واسم نظام التشغيل والهندسة المعمارية ؛
• تنفيذ التعليمات البرمجية عن بعد ؛
• تنزيل الملفات وتحميلها من خلال C&C ؛
• الكشف عن وجود برامج تصحيح الأخطاء المستخدمة في تحليل الملفات الضارة ؛
• تعطيل النظام إذا تم العثور على برامج تحليل البرامج الضارة ؛
• حذف الملفات من محركات الأقراص المحلية ؛
• أخذ لقطات ؛
• تعطيل التدابير الوقائية لمنتجات Microsoft Office.

في مرحلة ما ، ارتكب المهاجمون خطأ وتمكّن الباحثون من ReaQta من الحصول على عنوان IP النهائي ، والذي كان يقع في طهران. بالنظر إلى الأهداف التي هاجمتها المجموعة ، فضلاً عن مهامها المتعلقة بالتجسس الإلكتروني ، اقترح الخبراء أن المجموعة تمثل مصالح الحكومة الإيرانية.

تركيا تحت تهديد السلاح

في 10 أبريل 2019 ، اكتشف متخصصو Group-IB تسربًا في العناوين البريدية للشركة التركية ASELSAN A.Ş ، أكبر شركة للإلكترونيات العسكرية في تركيا. وتشمل منتجاتها الرادارات والمعدات الإلكترونية ، والبصريات الكهربائية ، وإلكترونيات الطيران ، والأنظمة غير المأهولة ، والأرض ، والبحرية وأنظمة الأسلحة ، وكذلك أنظمة الدفاع الجوي.

عند دراسة إحدى العينات الجديدة من البرامج الضارة لـ POWERSTATS ، وجد خبراء Group-IB أن مجموعة المهاجمين MuddyWater استخدمت اتفاقية ترخيص بين Koç Savunma ، وهي شركة لتصنيع حلول تكنولوجيا المعلومات والدفاع ، و Tubitak Bilgem ، وهو مركز لأبحاث المعلومات والأبحاث. التكنولوجيا المتقدمة. الشخص المسؤول عن الاتصال في Koç Savunma كان طاهر تانر تيميس ، الذي شغل منصب مدير البرامج في Koç Bilgi ve Savunma Teknolojileri A.Ş. من سبتمبر 2013 إلى ديسمبر 2018. بدأ العمل في وقت لاحق في ASELSAN A.Ş.


بعد قيام المستخدم بتنشيط وحدات الماكرو الضارة ، يتم تنزيل POWERSTATS backdoor إلى كمبيوتر الضحية.

بفضل البيانات الوصفية لوثيقة الطعم هذه (MD5: 0638adf8fb4095d60fbef190a759aa9e ) ، تمكن الباحثون من العثور على ثلاث عينات إضافية تحتوي على قيم متطابقة ، بما في ذلك تاريخ ووقت الإنشاء واسم المستخدم وقائمة من وحدات الماكرو المضمنة:

• ListOfHackedEmails.doc ( eed599981c097944fa143e7d7f7e17b1 )
• asd.doc ( 21aebece73549b3c4355a6060df410e9 )
• F35-Specification.doc ( 5c6148619abb10bb3789dcfb32f759a6 )

تحتوي إحدى المستندات التي تم العثور عليها باسم ListOfHackedEmails.doc على قائمة بعناوين البريد الإلكتروني البالغ عددها 34 عنوانًا للمجال @ aselsan.com.tr .

قام متخصصو Group-IB بالتحقق من عناوين المراسلات بحثًا عن التسريبات الموجودة في المجال العام ووجدوا أن 28ًا منهم تم اختراقهم في التسريبات التي تم اكتشافها مسبقًا. التحقق من مزيج التسريبات المتاحة كشف عن 400 تسجيل دخول فريد مرتبط بهذا المجال وكلمات مرور خاصة بهم. ربما استخدم المهاجمون هذه البيانات من الوصول المفتوح إلى الهجوم ASELSAN A.Ş.




من بين العينات التي تم العثور عليها أيضًا مستند يسمى F35-Specification.doc ، يشير إلى مقاتلة F-35. وثيقة الطعم هي مواصفات لقاذفات مقاتلة متعددة الوظائف من طراز F-35 ، تشير إلى خصائص الطائرة وسعرها. يرتبط موضوع وثيقة الطعم هذه ارتباطًا مباشرًا برفض الولايات المتحدة تزويد F-35 بعد شراء تركيا لأنظمة S-400 وتهديد روسيا بإرسال معلومات حول F-35 Lightning II.

تشير جميع البيانات التي تم الحصول عليها إلى أن الهدف الرئيسي لهجمات MuddyWater الإلكترونية هو المنظمات الموجودة في تركيا.

من هم Gladiyator_CRK و Nima Nikjoo؟

في وقت سابق ، في مارس 2019 ، تم اكتشاف مستندات ضارة تم إنشاؤها بواسطة مستخدم Windows واحد تحت اسم Gladiyator_CRK. هذه الوثائق وزعت أيضا POWERSTATS مستتر ومتصلة بخادم C & C مع اسم مماثل gladiyator [.] المعارف التقليدية .

ربما تم ذلك بعد أن نشر Nima Nikjoo منشورًا على Twitter في 14 مارس 2019 ، والذي يحاول فيه فك تشفير الكود المشوه المرتبط بـ MuddyWater. في التعليقات على هذه التغريدة ، قال الباحث إنه لا يمكنه مشاركة مؤشرات التسوية لهذا البرنامج الضار ، لأن هذه المعلومات سرية. لسوء الحظ ، تم حذف السجل بالفعل ، ولكن بقيت آثاره على الشبكة:



Nima Nikjoo هي صاحبة الملف الشخصي Gladiyator_CRK على مواقع استضافة الفيديو الإيرانية dideo.ir و videoi.ir. في هذا الموقع ، يوضح مآثر PoC لتعطيل أدوات مكافحة الفيروسات لمختلف البائعين وتجاوز صناديق الرمل. يكتب نيما نيكو لنفسه أنه متخصص في أمن الشبكات ، فضلاً عن مهندس عكسي ومحلل للبرامج الضارة يعمل في شركة MTN Irancell ، وهي شركة اتصالات إيرانية.

لقطة شاشة لمقاطع الفيديو المحفوظة في نتائج بحث Google:



في وقت لاحق ، في 19 مارس 2019 ، قام المستخدم Nima Nikjoo على شبكة التواصل الاجتماعي Twitter بتغيير اسمه المستعار إلى Malware Fighter ، وحذف أيضًا المشاركات والتعليقات ذات الصلة. تم أيضًا حذف ملف التعريف Gladiyator_CRK على الفيديو الذي يستضيف dideo.ir ، كما هو الحال على YouTube ، وتمت إعادة تسمية الملف الشخصي نفسه باسم N Tabrizi. ومع ذلك ، بعد حوالي شهر (16 أبريل 2019) ، بدأ حساب Twitter مرة أخرى في استخدام اسم Nima Nikjoo.

أثناء الدراسة ، وجد خبراء Group-IB أن Nima Nikjoo قد تم ذكرها بالفعل فيما يتعلق بجرائم الإنترنت. في أغسطس 2014 ، نشرت مدونة إيران خاباريستان معلومات عن الأفراد المنتسبين إلى مجموعة جرائم الإنترنت التابعة لمعهد نصر الإيراني. قالت إحدى دراسات FireEye أن معهد نصر كان مقاولًا لـ APT33 وشارك أيضًا في هجمات DDoS على البنوك الأمريكية من 2011 إلى 2013 كجزء من حملة تسمى عملية Ababil.

لذلك ، ذكرت نفس المدونة Nima Nikju-Nikjoo ، الذي شارك في تطوير البرامج الضارة للتجسس على الإيرانيين ، وعنوان بريده الإلكتروني: gladiyator_cracker @ yahoo [.] Com.

لقطة شاشة للبيانات المتعلقة بالمجرمين الإلكترونيين من معهد نصر الإيراني:


ترجمة ما تم تمييزه إلى الروسية: Nima Nikio - Spyware Developer - عنوان البريد الإلكتروني :.

كما ترى من هذه المعلومات ، يرتبط عنوان البريد الإلكتروني بالعنوان المستخدم في الهجمات ، ومستخدمي Gladiyator_CRK و Nima Nikjoo.

بالإضافة إلى ذلك ، ذكرت مقالة بتاريخ 15 يونيو 2017 أن Nikjoo تحولت إلى إهمال إلى حد ما عن طريق نشر روابط إلى Kavosh Security Center في سيرته الذاتية. يُعتقد أن مركز كافوش الأمني ​​مدعوم من الدولة الإيرانية لتمويل المتسللين المؤيدين للحكومة.

معلومات حول الشركة Nima Nikjoo عملت من أجل:


في ملف تعريف المستخدم على LinkedIn ، حدد Nima Nikjoo ، مستخدم Twitter ، Kavosh Security Center كأول وظيفة له ، حيث عمل من 2006 إلى 2014. خلال عمله ، درس العديد من البرامج الخبيثة ، وتناول أيضًا العمل العكسي والمتعلق بالتعتيم.

معلومات حول شركة Nima Nikjoo عملت على LinkedIn:

MuddyWater واحترام الذات عالية

من الغريب أن تقوم مجموعة MuddyWater بمراقبة جميع تقارير وتقارير خبراء أمن المعلومات المنشورة عنهم بعناية ، وحتى تركوا أعلامًا كاذبة بشكل خاص أولاً لإسقاط الباحثين عن المسار. على سبيل المثال ، ضللت هجماتهم الأولى الخبراء لأنهم اكتشفوا استخدام DNS Messenger ، الذي كان مرتبطًا عادةً بمجموعة FIN7. في هجمات أخرى ، قاموا بإدراج سلاسل باللغة الصينية في الكود.

بالإضافة إلى ذلك ، المجموعة مغرمة جدًا بترك الرسائل للباحثين. على سبيل المثال ، لم يعجبهم حقيقة أن Kaspersky Lab في تصنيف التهديدات لهذا العام قد وضعت MuddyWater في المركز الثالث. في تلك اللحظة بالذات ، قام شخص ما - يُفترض أنه مجموعة MuddyWater - بتحميل ملف استغلال إلى YouTube قام بإيقاف تشغيل برنامج مكافحة الفيروسات LK على YouTube. لقد تركوا تعليقًا بموجب المقال.

لقطات من الفيديو حول تعطيل برنامج مكافحة الفيروسات Kaspersky Lab والتعليق أدناه:



لا يزال من الصعب التوصل إلى نتيجة لا لبس فيها بشأن تورط نيما نيكو. خبراء المجموعة IB تدرس نسختين. بالفعل ، قد يكون Nima Nikjoo من المتسللين من مجموعة MuddyWater ، الذين ظهروا بسبب إهماله وزيادة نشاطه على الشبكة. الخيار الثاني - تم "تسليط الضوء عليه" بشكل خاص من قبل أعضاء آخرين في المجموعة من أجل تجنب الشكوك. على أي حال ، تواصل Group-IB أبحاثها وستقدم بلا شك نتائجها.

أما بالنسبة لـ APTs الإيرانية ، فبعد سلسلة من التسريبات والمصارف ، من المحتمل أن يواجهوا "استخلاصًا" خطيرًا - سيضطر المتسللون إلى تغيير أدواتهم بشكل خطير وتنظيف المسارات وإيجاد الشامات المحتملة في صفوفهم. لم يستبعد الخبراء أنهم سيستغرقون مهلة ، ولكن بعد استراحة قصيرة ، استمرت هجمات APTs الإيرانية مرة أخرى.

Group-IB تعرف كل شيء عن الجريمة السيبرانية ، لكنها تحكي عن الأشياء الأكثر إثارة للاهتمام.

قناة Telegram المزدحمة (https://t.me/Group_IB) حول أمن المعلومات والمتسللين والهجمات الإلكترونية وقراصنة الإنترنت وقراصنة الإنترنت. التحقيق في الجريمة السيبرانية المثيرة عن طريق الخطوات والحالات العملية باستخدام تقنيات Group-IB ، وبطبيعة الحال ، توصيات حول كيفية تجنب الوقوع ضحية على الإنترنت.

Group-IB Photowire on Instagram www.instagram.com/group_ib
تويتر أخبار قصيرة twitter.com/GroupIB

Group-IB هي واحدة من المطورين الرائدين لحلول الكشف عن الهجمات السيبرانية ومنعها واكتشاف الاحتيال وحماية الملكية الفكرية في شبكة مقرها في سنغافورة.