Trübe Gewässer: Wie Hacker von MuddyWater einen türkischen Hersteller von Militärelektronik angriffen

Die regierungsnahen iranischen Hacker haben große Probleme. Während des gesamten Frühlings veröffentlichten nicht identifizierte Personen „geheime Pflaumen“ im Telegramm - Informationen über die mit der iranischen Regierung verbundenen APT-Gruppen - OilRig und MuddyWater - ihre Werkzeuge, Opfer und Verbindungen. Aber nicht über jeden. Im April entdeckten Group-IB-Spezialisten ein Leck in den Postanschriften des türkischen Unternehmens ASELSAN A.Ş, das taktische Militärradiosender und elektronische Verteidigungssysteme für die türkischen Streitkräfte herstellt. Anastasia Tikhonova , Leiterin der Forschungsgruppe für komplexe Bedrohungen der Gruppe IB, und Nikita Rostovtsev , Junioranalystin der Gruppe IB, beschrieben den Verlauf des Angriffs auf ASELSAN A.Ş und fanden einen möglichen Teilnehmer an MuddyWater .

Telegrammbelichtung

Der „Abfluss“ iranischer APT-Gruppen begann mit der Tatsache, dass Lab Dookhtegan die Quellcodes von sechs APT34-Tools (auch bekannt als OilRig und HelixKitten) enthüllte, die an den Operationen beteiligten IP-Adressen und Domänen sowie Daten zu 66 Hacker-Opfern enthüllte waren Etihad Airways und Emirates National Oil. Lab Dookhtegan "durchgesickert" sowohl Daten über die früheren Operationen der Gruppe als auch Informationen über Mitarbeiter des iranischen Ministeriums für Information und nationale Sicherheit, die angeblich mit den Operationen der Gruppe verbunden sind. OilRig ist eine mit dem Iran verbundene APT-Gruppe, die seit 2014 besteht und sich an Regierungs-, Finanz- und Militärorganisationen sowie Energie- und Telekommunikationsunternehmen im Nahen Osten und in China richtet.

Nach der Enthüllung von OilRig gingen die „Pflaumen“ weiter - auf Darknet und Telegram erschienen Informationen über die Aktivitäten einer anderen regierungsnahen Gruppe aus dem Iran - MuddyWater. Im Gegensatz zum ersten Leck wurden diesmal jedoch keine Quellcodes veröffentlicht, sondern Dumps, einschließlich Screenshots von Quellcodes, Kontrollservern sowie IP-Adressen früherer Opfer von Hackern. Diesmal übernahmen die Hacker von Green Leakers die Verantwortung für das MuddyWater-Leck. Sie besitzen mehrere Telegrammkanäle und Darknet-Sites, auf denen sie Daten im Zusammenhang mit MuddyWater-Vorgängen bewerben und verkaufen.

Cyberspies mit dem Nahen Osten

MuddyWater ist eine Gruppe, die seit 2017 in Ländern des Nahen Ostens tätig ist. Nach Angaben von Group-IB-Spezialisten führten Hacker beispielsweise zwischen Februar und April 2019 eine Reihe von Phishing-Mailings durch, die sich an Regierungen, Bildungseinrichtungen, Finanz-, Telekommunikations- und Verteidigungsunternehmen in der Türkei, im Iran, in Afghanistan, im Irak und in Aserbaidschan richteten.

Die Gruppenmitglieder verwenden eine proprietäre Backdoor auf PowerShell-Basis namens POWERSTATS . Er kann:

• Sammeln von Daten über lokale und Domänenkonten, zugängliche Dateiserver, interne und externe IP-Adresse, Betriebssystemname und Architektur;
• Remote-Codeausführung durchführen;
• Dateien über C & C herunterladen und hochladen;
• das Vorhandensein von Debugging-Programmen erkennen, die bei der Analyse schädlicher Dateien verwendet werden;
• Deaktivieren Sie das System, wenn Malware-Analyseprogramme gefunden werden.
• Dateien von lokalen Laufwerken löschen;
• Screenshots machen;
• Deaktivieren Sie Schutzmaßnahmen für Microsoft Office-Produkte.

Irgendwann machten die Angreifer einen Fehler und den Forschern von ReaQta gelang es, die endgültige IP-Adresse zu erhalten, die sich in Teheran befand. In Anbetracht der von der Gruppe angegriffenen Ziele sowie ihrer Aufgaben im Zusammenhang mit Cyberspionage schlugen Experten vor, dass die Gruppe die Interessen der iranischen Regierung vertritt.

Türkei mit vorgehaltener Waffe

Am 10. April 2019 entdeckten Group-IB-Spezialisten ein Leck in den Postanschriften des türkischen Unternehmens ASELSAN A.Ş, dem größten Militärelektronikunternehmen in der Türkei. Zu den Produkten gehören Radar- und Elektronikgeräte, Elektrooptik, Avionik, unbemannte Systeme, Boden-, See- und Waffensysteme sowie Luftverteidigungssysteme.

Bei der Untersuchung eines der neuen Beispiele der POWERSTATS-Malware stellten Group-IB-Experten fest, dass die Gruppe der Angreifer MuddyWater eine Lizenzvereinbarung zwischen Koç Savunma, einem Unternehmen, das Informations- und Verteidigungstechnologielösungen herstellt, und Tubitak Bilgem, einem Informationssicherheits- und Forschungszentrum, als Täuschungsdokument verwendete. fortschrittliche Technologie. Die Kontaktperson für Koç Savunma war Tahir Taner Tımış, der als Programmmanager bei Koç Bilgi ve Savunma Teknolojileri A.Ş. von September 2013 bis Dezember 2018. Später begann er bei ASELSAN A.Ş.


Nachdem der Benutzer böswillige Makros aktiviert hat, wird die POWERSTATS-Hintertür auf den Computer des Opfers heruntergeladen.

Dank der Metadaten dieses Köderdokuments (MD5: 0638adf8fb4095d60fbef190a759aa9e ) konnten die Forscher drei zusätzliche Proben mit identischen Werten finden, darunter Datum und Uhrzeit der Erstellung, Benutzername und eine Liste der enthaltenen Makros:

• ListOfHackedEmails.doc ( eed599981c097944fa143e7d7f7e17b1 )
• asd.doc ( 21aebece73549b3c4355a6060df410e9 )
• F35-Specifications.doc ( 5c6148619abb10bb3789dcfb32f759a6 )

Eines der gefundenen Dokumente mit dem Namen ListOfHackedEmails.doc enthält eine Liste von 34 E-Mail-Adressen, die zur Domain @ aselsan.com.tr gehören .

Group-IB-Spezialisten überprüften die Postanschriften auf öffentlich zugängliche Lecks und stellten fest, dass 28 von ihnen bei zuvor entdeckten Lecks kompromittiert wurden. Bei der Überprüfung der Mischung der verfügbaren Lecks wurden etwa 400 eindeutige Anmeldungen für diese Domain und Kennwörter für diese ermittelt. Die Angreifer haben diese Daten möglicherweise vom Open Access aus verwendet, um ASELSAN A.Ş anzugreifen.




Unter den gefundenen Proben befand sich auch ein Dokument namens F35-Specifications.doc , das sich auf den F-35-Jäger bezog. Das Köderdokument ist eine Spezifikation der multifunktionalen Jagdbomber F-35, in der die Eigenschaften und der Preis des Flugzeugs angegeben sind. Das Thema dieses Köderdokuments steht in direktem Zusammenhang mit der Weigerung der USA, die F-35 nach dem Kauf der S-400-Systeme durch die Türkei zu liefern, und der Gefahr, Informationen über die F-35 Lightning II nach Russland zu übertragen.

Alle erhaltenen Daten zeigten, dass das Hauptziel der MuddyWater-Cyberangriffe Organisationen in der Türkei waren.

Wer sind Gladiyator_CRK und Nima Nikjoo?

Zuvor, im März 2019, wurden schädliche Dokumente entdeckt, die von einem Windows-Benutzer unter dem Spitznamen Gladiyator_CRK erstellt wurden. Diese Dokumente verteilten auch die POWERSTATS-Hintertür und verbanden sich mit dem C & C-Server mit dem ähnlichen Namen gladiyator [.] Tk .

Vielleicht geschah dies, nachdem Nima Nikjoo am 14. März 2019 einen Beitrag auf Twitter gepostet hatte, in dem er versucht, den mit MuddyWater verbundenen verschleierten Code zu entschlüsseln. In den Kommentaren zu diesem Tweet sagte der Forscher, dass er keine Indikatoren für einen Kompromiss dieses Schadprogramms teilen könne, da diese Informationen vertraulich sind. Leider wurde der Datensatz bereits gelöscht, aber seine Spuren blieben im Netzwerk:



Nima Nikjoo ist Inhaberin des Gladiyator_CRK-Profils auf den iranischen Video-Hosting-Sites dideo.ir und videoi.ir. Auf dieser Website demonstriert er PoC-Exploits zum Deaktivieren von Antiviren-Tools verschiedener Anbieter und zum Umgehen von Sandboxen. Nima Nikjoo schreibt sich, dass er ein Spezialist für Netzwerksicherheit sowie ein Reverse Engineering und Malware-Analyst ist, der für MTN Irancell, ein iranisches Telekommunikationsunternehmen, arbeitet.

Screenshot der gespeicherten Videos in den Google-Suchergebnissen:



Später, am 19. März 2019, änderte Benutzer Nima Nikjoo im sozialen Netzwerk Twitter seinen Spitznamen in Malware Fighter und löschte auch verwandte Beiträge und Kommentare. Das Gladiyator_CRK-Profil auf dem Video-Hosting dideo.ir wurde ebenso wie auf YouTube gelöscht und das Profil selbst in N Tabrizi umbenannt. Nach fast einem Monat (16. April 2019) begann der Twitter-Account jedoch wieder, den Namen Nima Nikjoo zu verwenden.

Im Verlauf der Studie stellten Experten der Gruppe IB fest, dass Nima Nikjoo bereits im Zusammenhang mit Cyberkriminalität erwähnt wurde. Im August 2014 veröffentlichte der Blog von Iran Khabarestan Informationen zu Personen, die der Cyberkriminellengruppe des iranischen Nasr-Instituts angeschlossen sind. Einer FireEye-Studie zufolge war das Nasr Institute ein Auftragnehmer für APT33 und beteiligte sich zwischen 2011 und 2013 im Rahmen einer Kampagne namens Operation Ababil an DDoS-Angriffen auf US-Banken.

Im selben Blog wurden Nima Nikju-Nikjoo, der an der Entwicklung von Malware beteiligt war, um Iraner auszuspionieren, und seine E-Mail-Adresse: gladiyator_cracker @ yahoo [.] Com erwähnt.

Screenshot von Daten zu Cyberkriminellen des iranischen Nasr-Instituts:


Übersetzung des Hervorgehobenen ins Russische: Nima Nikio - Spyware Developer - E-Mail-Adresse:.

Wie Sie diesen Informationen entnehmen können, ist die E-Mail-Adresse mit der bei den Angriffen verwendeten Adresse und den Benutzern von Gladiyator_CRK und Nima Nikjoo verknüpft.

In einem Artikel vom 15. Juni 2017 wurde außerdem festgestellt, dass Nikjoo sich als etwas nachlässig herausstellte, indem er in seinem Lebenslauf Links zum Kavosh Security Center veröffentlichte. Es wird angenommen, dass das Kavosh-Sicherheitszentrum vom iranischen Staat unterstützt wird, um regierungsnahe Hacker zu finanzieren.

Informationen über die Firma Nima Nikjoo arbeitete für:


In einem Benutzerprofil auf LinkedIn identifizierte Nima Nikjoo, ein Twitter-Benutzer, das Kavosh Security Center als seinen ersten Job, bei dem er von 2006 bis 2014 arbeitete. Während seiner Arbeit studierte er verschiedene Schadprogramme und beschäftigte sich auch mit Umkehrungen und Arbeiten im Zusammenhang mit der Verschleierung.

Informationen über das Unternehmen, für das Nima Nikjoo auf LinkedIn gearbeitet hat:

MuddyWater und hohes Selbstwertgefühl

Es ist merkwürdig, dass die MuddyWater-Gruppe alle Berichte und Berichte von Informationssicherheitsexperten, die über sie veröffentlicht wurden, sorgfältig überwacht und sogar zuerst falsche Flaggen hinterlassen hat, um die Forscher vom Weg abzuhalten. Zum Beispiel haben ihre ersten Angriffe Experten in die Irre geführt, weil sie die Verwendung von DNS Messenger entdeckt haben, der normalerweise mit der FIN7-Gruppe verbunden war. Bei anderen Angriffen fügten sie Zeichenfolgen auf Chinesisch in den Code ein.

Darüber hinaus hinterlässt die Gruppe sehr gerne Nachrichten an die Forscher. Zum Beispiel gefiel ihnen nicht, dass Kaspersky Lab in seiner Rangliste der Bedrohungen für das Jahr MuddyWater auf den dritten Platz brachte. In diesem Moment hat jemand - vermutlich die MuddyWater-Gruppe - einen Exploit auf YouTube hochgeladen, der das LK-Antivirenprogramm auf YouTube deaktiviert hat. Sie haben einen Kommentar unter dem Artikel hinterlassen.

Screenshots des Videos zum Deaktivieren von Kaspersky Lab Antivirus und der Kommentar darunter:



Es ist immer noch schwierig, eine eindeutige Schlussfolgerung über die Beteiligung von Nima Nikjoo zu ziehen. Group-IB-Experten erwägen zwei Versionen. Nima Nikjoo ist möglicherweise ein Hacker aus der MuddyWater-Gruppe, der aufgrund seiner Nachlässigkeit und verstärkten Aktivität im Netzwerk aufgetaucht ist. Die zweite Option - sie wurde von anderen Mitgliedern der Gruppe speziell „ins Rampenlicht gerückt“, um Verdacht abzuwenden. In jedem Fall setzt Group-IB seine Forschung fort und wird sicherlich über seine Ergebnisse berichten.

Die iranischen APTs werden nach einer Reihe von Lecks und Abflüssen wahrscheinlich einer ernsthaften „Nachbesprechung“ ausgesetzt sein - Hacker werden gezwungen sein, ihre Werkzeuge ernsthaft zu wechseln, die Spuren zu säubern und mögliche Maulwürfe in ihren Reihen zu finden. Experten schlossen nicht aus, dass sie überhaupt eine Auszeit nehmen würden, aber nach einer kurzen Pause gingen die Angriffe iranischer APTs wieder weiter.

Group-IB weiß alles über Cyberkriminalität, erzählt aber die interessantesten Dinge.

Der actionreiche Telegrammkanal (https://t.me/Group_IB) über Informationssicherheit, Hacker und Cyberangriffe, Hacktivisten und Internetpiraten. Schrittweise Untersuchung sensationeller Cyberkriminalität, praktische Fälle mit Group-IB-Technologien und natürlich Empfehlungen, wie man vermeiden kann, im Internet Opfer zu werden.

Group-IB Photowire auf Instagram www.instagram.com/group_ib
Twitter Kurznachrichten twitter.com/GroupIB

Group-IB ist einer der führenden Entwickler von Lösungen zur Erkennung und Verhinderung von Cyberangriffen, zur Aufdeckung von Betrug und zum Schutz des geistigen Eigentums in einem Netzwerk mit Hauptsitz in Singapur.