Eaux troubles: comment les pirates de MuddyWater ont attaqué un fabricant turc d'électronique militaire

Les pirates iraniens pro-gouvernementaux ont de gros problèmes. Tout au long du printemps, des personnes non identifiées ont publié des «prunes secrètes» sur Telegram - des informations sur les groupes APT associés au gouvernement iranien - OilRig et MuddyWater - leurs outils, leurs victimes, leurs relations. Mais pas pour tout le monde. En avril, des spécialistes du Groupe IB ont découvert une fuite dans les adresses postales de la société turque ASELSAN A.Ş, qui produit des stations de radio militaires tactiques et des systèmes de défense électronique pour les forces armées turques. Anastasia Tikhonova , chef du groupe de recherche sur les menaces complexes du Groupe-IB, et Nikita Rostovtsev , analyste junior au Groupe-IB, ont décrit le cours de l'attaque contre ASELSAN A.Ş et ont trouvé un éventuel participant à MuddyWater .

Exposition au télégramme

La «fuite» des groupes iraniens APT a commencé avec le fait que quelqu'un Lab Dookhtegan a dévoilé les codes sources de six outils APT34 (alias OilRig et HelixKitten), a révélé les adresses IP et les domaines impliqués dans les opérations, ainsi que des données sur 66 pirates informatiques, parmi lesquels étaient Etihad Airways et Emirates National Oil. Le laboratoire Dookhtegan a également "divulgué" à la fois des données sur les opérations passées du groupe et des informations sur les employés du ministère iranien de l'Information et de la Sécurité nationale, qui seraient liées aux opérations du groupe. OilRig est un groupe APT lié à l'Iran qui existe depuis 2014 et s'adresse aux organisations gouvernementales, financières et militaires, ainsi qu'aux sociétés d'énergie et de télécommunications au Moyen-Orient et en Chine.

Après l'exposition de OilRig, les «prunes» ont continué - sur darknet et Telegram, des informations sont apparues sur les activités d'un autre groupe progouvernemental iranien - MuddyWater. Cependant, contrairement à la première fuite, cette fois, les codes source n'ont pas été publiés, mais les vidages, y compris les captures d'écran des codes source, les serveurs de contrôle, ainsi que les adresses IP des anciennes victimes de pirates. Cette fois, les pirates de Green Leakers ont revendiqué la fuite de MuddyWater. Ils possèdent plusieurs chaînes Telegram et sites darknet où ils font de la publicité et vendent des données liées aux opérations de MuddyWater.

Cyberspies avec le Moyen-Orient

MuddyWater est un groupe qui opère depuis 2017 dans les pays du Moyen-Orient. Par exemple, comme le notent les experts du Groupe IB, entre février et avril 2019, les pirates ont effectué une série de mailings de phishing destinés au gouvernement, aux organisations éducatives, aux sociétés financières, de télécommunications et de défense en Turquie, Iran, Afghanistan, Irak et Azerbaïdjan.

Les membres du groupe utilisent une porte dérobée propriétaire basée sur PowerShell, appelée POWERSTATS . Il peut:

• collecter des données sur les comptes locaux et de domaine, les serveurs de fichiers accessibles, l'adresse IP interne et externe, le nom du système d'exploitation et l'architecture;
• exécuter l'exécution de code à distance;
• télécharger et télécharger des fichiers via C&C;
• détecter la présence de programmes de débogage utilisés dans l'analyse de fichiers malveillants;
• désactiver le système si des programmes d'analyse de logiciels malveillants sont trouvés;
• supprimer des fichiers des disques locaux;
• prendre des captures d'écran;
• Désactivez les mesures de protection pour les produits Microsoft Office.

À un moment donné, les attaquants ont fait une erreur et les chercheurs de ReaQta ont réussi à obtenir l'adresse IP finale, qui était située à Téhéran. Compte tenu des objectifs attaqués par le groupe, ainsi que de ses tâches liées au cyberespionnage, les experts ont suggéré que le groupe représente les intérêts du gouvernement iranien.

La Turquie sous la menace

Le 10 avril 2019, des spécialistes du Groupe IB ont découvert une fuite dans les adresses postales de la société turque ASELSAN A.Ş, la plus grande société d'électronique militaire en Turquie. Ses produits comprennent les radars et les équipements électroniques, l'électro-optique, l'avionique, les systèmes sans pilote, les systèmes terrestres, navals et d'armes, ainsi que les systèmes de défense aérienne.

En examinant l'un des nouveaux échantillons du logiciel malveillant POWERSTATS, les experts du Groupe IB ont découvert que le groupe d'attaquants MuddyWater avait utilisé un accord de licence entre Koç Savunma, une société fabriquant des solutions de technologie de l'information et de la défense, et Tubitak Bilgem, un centre de recherche et de sécurité de l'information, comme document d'appât. technologie de pointe. La personne de contact pour Koç Savunma était Tahir Taner Tımış, qui était directeur des programmes chez Koç Bilgi ve Savunma Teknolojileri A.Ş. de septembre 2013 à décembre 2018. Il a ensuite commencé à travailler chez ASELSAN A.Ş.


Une fois que l'utilisateur a activé les macros malveillantes, la porte dérobée POWERSTATS est téléchargée sur l'ordinateur de la victime.

Grâce aux métadonnées de ce document d'appât (MD5: 0638adf8fb4095d60fbef190a759aa9e ), les chercheurs ont pu trouver trois échantillons supplémentaires contenant des valeurs identiques, dont la date et l'heure de création, le nom d'utilisateur et une liste des macros contenues:

• ListOfHackedEmails.doc ( eed599981c097944fa143e7d7f7e17b1 )
• asd.doc ( 21aebece73549b3c4355a6060df410e9 )
• F35-Specifications.doc ( 5c6148619abb10bb3789dcfb32f759a6 )

L'un des documents trouvés nommé ListOfHackedEmails.doc contient une liste de 34 adresses e-mail appartenant au domaine @ aselsan.com.tr .

Les spécialistes du groupe IB ont vérifié les adresses postales pour les fuites qui sont dans le domaine public et ont constaté que 28 d'entre elles étaient compromises dans des fuites découvertes précédemment. La vérification de la combinaison des fuites disponibles a révélé environ 400 connexions uniques associées à ce domaine et leurs mots de passe. Les attaquants peuvent avoir utilisé ces données en accès libre pour attaquer ASELSAN A.Ş.




Parmi les échantillons trouvés se trouvait également un document appelé F35-Specifications.doc , faisant référence au chasseur F-35. Le document d'appât est une spécification des chasseurs-bombardiers multifonctionnels F-35, indiquant les caractéristiques et le prix de l'avion. Le thème de ce document d’appât est directement lié au refus des États-Unis de fournir le F-35 après l’achat par la Turquie des systèmes S-400 et à la menace de transférer des informations sur le F-35 Lightning II à la Russie.

Toutes les données obtenues indiquent que la principale cible des cyberattaques de MuddyWater était des organisations situées en Turquie.

Qui sont Gladiyator_CRK et Nima Nikjoo?

Plus tôt, en mars 2019, des documents malveillants ont été découverts créés par un utilisateur Windows sous le surnom Gladiyator_CRK. Ces documents distribuaient également la porte dérobée POWERSTATS et étaient connectés au serveur C&C avec le nom similaire gladiyator [.] Tk .

Peut-être que cela a été fait après que Nima Nikjoo a publié un post sur Twitter le 14 mars 2019, dans lequel il essaie de décoder le code obscurci associé à MuddyWater. Dans les commentaires sur ce tweet, le chercheur a déclaré qu'il ne pouvait pas partager d'indicateurs de compromission de ce programme malveillant, car ces informations sont confidentielles. Malheureusement, l'enregistrement a déjà été supprimé, mais ses traces sont restées sur le réseau:



Nima Nikjoo est propriétaire du profil Gladiyator_CRK sur les sites d'hébergement vidéo iraniens dideo.ir et videoi.ir. Sur ce site, il démontre les exploits PoC pour désactiver les outils antivirus de divers fournisseurs et contourner les sandbox. Nima Nikjoo s'écrit qu'il est un spécialiste de la sécurité des réseaux, ainsi qu'un ingénieur inversé et un analyste de logiciels malveillants qui travaille pour MTN Irancell, une société de télécommunications iranienne.

Capture d'écran des vidéos enregistrées dans les résultats de recherche Google:



Plus tard, le 19 mars 2019, l'utilisateur Nima Nikjoo sur le réseau social Twitter a changé son surnom en Malware Fighter, et a également supprimé les publications et commentaires connexes. Le profil Gladiyator_CRK sur la vidéo hébergeant dideo.ir a également été supprimé, comme sur YouTube, et le profil lui-même a été renommé N Tabrizi. Cependant, après près d'un mois (16 avril 2019), le compte Twitter a recommencé à utiliser le nom Nima Nikjoo.

Au cours de l'étude, les experts du Groupe IB ont constaté que Nima Nikjoo avait déjà été mentionnée dans le cadre de la cybercriminalité. En août 2014, le blog d'Iran Khabarestan a publié des informations sur des individus affiliés au groupe cybercriminel de l'Institut iranien Nasr. Une étude FireEye a déclaré que le Nasr Institute était un contractant pour APT33 et avait également participé à des attaques DDoS contre des banques américaines entre 2011 et 2013 dans le cadre d'une campagne appelée Opération Ababil.

Ainsi, le même blog mentionnait Nima Nikju-Nikjoo, qui était impliquée dans le développement de logiciels malveillants pour espionner les Iraniens, et son adresse e-mail: gladiyator_cracker @ yahoo [.] Com.

Capture d'écran des données relatives aux cybercriminels de l'Institut iranien Nasr:


Traduction du russe en surbrillance: Nima Nikio - Développeur de logiciels espions - Adresse e-mail :.

Comme vous pouvez le voir à partir de ces informations, l'adresse e-mail est associée à l'adresse utilisée dans les attaques et aux utilisateurs de Gladiyator_CRK et Nima Nikjoo.

En outre, un article daté du 15 juin 2017 a déclaré que Nikjoo s'était révélé quelque peu négligent en publiant des liens vers le centre de sécurité Kavosh dans son curriculum vitae. On pense que le centre de sécurité de Kavosh est soutenu par l'État iranien pour financer des pirates progouvernementaux.

Informations sur l'entreprise Nima Nikjoo a travaillé pour:


Sur un profil d'utilisateur sur LinkedIn, Nima Nikjoo, un utilisateur de Twitter, a identifié Kavosh Security Center comme son premier emploi, où il a travaillé de 2006 à 2014. Au cours de son travail, il a étudié divers programmes malveillants et a également traité des inversions et des travaux liés à l'obscurcissement.

Informations sur l'entreprise pour laquelle Nima Nikjoo a travaillé sur LinkedIn:

MuddyWater et haute estime de soi

Il est curieux que le groupe MuddyWater surveille attentivement tous les rapports et rapports d'experts en sécurité de l'information publiés à leur sujet, et ait même spécialement laissé de faux drapeaux en premier pour chasser les chercheurs de la piste. Par exemple, leurs premières attaques ont trompé les experts car ils ont découvert l'utilisation de DNS Messenger, qui était généralement associé au groupe FIN7. Dans d'autres attaques, ils ont inséré des chaînes en chinois dans le code.

De plus, le groupe aime beaucoup laisser des messages aux chercheurs. Par exemple, ils n'ont pas apprécié le fait que Kaspersky Lab dans son classement des menaces pour l'année place MuddyWater à la troisième place. À ce moment-là, quelqu'un - probablement le groupe MuddyWater - a téléchargé un exploit sur YouTube qui a désactivé l'antivirus LK sur YouTube. Ils ont laissé un commentaire sous l'article.

Captures d'écran de la vidéo sur la désactivation de l'antivirus Kaspersky Lab et le commentaire ci-dessous:



Il est encore difficile de tirer une conclusion sans ambiguïté sur l'implication de Nima Nikjoo. Les experts du Groupe IB envisagent deux versions. Nima Nikjoo, en effet, est peut-être un pirate informatique du groupe MuddyWater, qui s'est présenté en raison de sa négligence et de son activité accrue sur le réseau. La deuxième option - elle a été spécialement «mise en lumière» par d'autres membres du groupe afin d'éviter les soupçons. En tout état de cause, le Groupe-IB poursuit ses recherches et rendra certainement compte de ses résultats.

Quant aux APT iraniens, après une série de fuites et de drains, ils risquent de faire face à un sérieux «débriefing» - les hackers seront obligés de changer sérieusement leurs outils, nettoyer les pistes et trouver d'éventuelles taupes dans leurs rangs. Les experts n'ont pas exclu qu'ils prennent même un temps mort, mais après une courte pause, les attaques des APT iraniens se sont de nouveau poursuivies.

Group-IB sait tout sur la cybercriminalité, mais raconte les choses les plus intéressantes.

La chaîne Telegram pleine d'action (https://t.me/Group_IB) sur la sécurité de l'information, les pirates et les cyberattaques, les hacktivistes et les pirates Internet. Enquêtes sur la cybercriminalité sensationnelle par étapes, cas pratiques utilisant les technologies du Groupe IB et, bien sûr, recommandations sur la façon d'éviter de devenir une victime sur Internet.

Photowire Group-IB sur Instagram www.instagram.com/group_ib
Nouvelles brèves Twitter twitter.com/GroupIB

Group-IB est l'un des principaux développeurs de solutions pour détecter et prévenir les cyberattaques, détecter les fraudes et protéger la propriété intellectuelle dans un réseau dont le siège est à Singapour.