Air keruh: bagaimana peretas dari MuddyWater menyerang produsen elektronik militer Turki

Peretas pro-pemerintah Iran memiliki masalah besar. Sepanjang musim semi, orang-orang tak dikenal menerbitkan "buah plum rahasia" di Telegram - informasi tentang kelompok APT yang terkait dengan pemerintah Iran - OilRig dan MuddyWater - alat, korban, koneksi mereka. Tapi tidak semua orang. Pada bulan April, spesialis Grup-IB menemukan kebocoran pada alamat pos perusahaan Turki ASELSAN A.Ş, yang memproduksi stasiun radio militer taktis dan sistem pertahanan elektronik untuk angkatan bersenjata Turki. Anastasia Tikhonova , kepala kelompok riset ancaman kompleks Grup-IB, dan Nikita Rostovtsev , seorang analis junior di Grup-IB, menggambarkan jalannya serangan terhadap ASELSAN A.Ş dan menemukan kemungkinan anggota MuddyWater .

Paparan telegram

"Mengalir" kelompok APT Iran dimulai dengan fakta bahwa seseorang Lab Dookhtegan meluncurkan kode sumber dari enam alat APT34 (alias OilRig dan HelixKitten), mengungkapkan alamat IP dan domain yang terlibat dalam operasi, serta data pada 66 korban peretas hacker, di antaranya adalah Etihad Airways dan Emirates National Oil. Lab Dookhtegan juga "membocorkan" data tentang operasi masa lalu grup dan informasi tentang karyawan Kementerian Informasi dan Keamanan Nasional Iran, yang diduga terkait dengan operasi grup. OilRig adalah grup APT terkait Iran yang telah ada sejak 2014 dan ditujukan untuk pemerintah, organisasi keuangan dan militer, serta perusahaan energi dan telekomunikasi di Timur Tengah dan Cina.

Setelah pemaparan OilRig, "prem" terus - di darknet dan Telegram, informasi muncul pada kegiatan kelompok pro-pemerintah lain dari Iran - MuddyWater. Namun, tidak seperti kebocoran pertama, kali ini bukan kode sumber yang diterbitkan, tetapi dump, termasuk tangkapan layar kode sumber, server kontrol, serta alamat IP dari korban peretas masa lalu. Kali ini, peretas Green Leakers mengaku bertanggung jawab atas kebocoran MuddyWater. Mereka memiliki beberapa saluran Telegram dan situs darknet tempat mereka mengiklankan dan menjual data yang terkait dengan operasi MuddyWater.

Cyberspies dengan Timur Tengah

MuddyWater adalah grup yang telah beroperasi sejak 2017 di negara-negara Timur Tengah. Misalnya, menurut pakar Grup-IB, antara Februari dan April 2019, peretas melakukan serangkaian pengiriman phishing yang ditujukan kepada pemerintah, organisasi pendidikan, keuangan, telekomunikasi dan perusahaan pertahanan di Turki, Iran, Afghanistan, Irak, dan Azerbaijan.

Anggota grup menggunakan backdoor milik berdasarkan PowerShell, yang disebut POWERSTATS . Dia bisa:

• mengumpulkan data tentang akun lokal dan domain, server file yang dapat diakses, alamat IP internal dan eksternal, nama dan arsitektur OS;
• melakukan eksekusi kode jarak jauh;
• unduh dan unggah file melalui C&C;
• mendeteksi keberadaan program debug yang digunakan dalam analisis file berbahaya;
• nonaktifkan sistem jika ditemukan program analisis malware;
• hapus file dari drive lokal;
• ambil tangkapan layar;
• Nonaktifkan tindakan perlindungan untuk produk Microsoft Office.

Pada titik tertentu, para penyerang melakukan kesalahan dan para peneliti dari ReaQta berhasil mendapatkan alamat IP akhir, yang berlokasi di Teheran. Mempertimbangkan tujuan yang diserang oleh kelompok tersebut, serta tugas-tugasnya terkait dengan spionase dunia maya, para ahli menyarankan bahwa kelompok tersebut mewakili kepentingan pemerintah Iran.

Turki di bawah todongan senjata

Pada 10 April 2019, spesialis Grup-IB menemukan kebocoran di alamat surat dari perusahaan Turki ASELSAN A.Ş, perusahaan elektronik militer terbesar di Turki. Produk-produknya meliputi radar dan peralatan elektronik, elektro-optik, avionik, sistem tak berawak, darat, laut dan sistem senjata, serta sistem pertahanan udara.

Meneliti salah satu sampel baru malware POWERSTATS, pakar Grup-IB menemukan bahwa kelompok penyerang MuddyWater menggunakan perjanjian lisensi antara Koç Savunma, sebuah perusahaan yang memproduksi solusi teknologi informasi dan pertahanan, dan Tubitak Bilgem, pusat informasi dan keamanan penelitian, sebagai dokumen umpan. teknologi canggih. Orang yang dapat dihubungi untuk Koç Savunma adalah Tahir Taner Tımış, yang menjabat sebagai Program Manager di Koç Bilgi ve Savunma Teknolojileri A.Ş. dari September 2013 hingga Desember 2018. Dia kemudian mulai bekerja di ASELSAN A.Ş.


Setelah pengguna mengaktifkan makro jahat, pintu belakang POWERSTATS diunduh ke komputer korban.

Berkat metadata dari dokumen umpan ini (MD5: 0638adf8fb4095d60fbef190a759aa9e ), para peneliti dapat menemukan tiga sampel tambahan yang mengandung nilai yang identik, termasuk tanggal dan waktu pembuatan, nama pengguna, dan daftar makro yang terkandung:

• ListOfHackedEmails.doc ( eed599981c097944fa143e7d7f7e17b1 )
• asd.doc ( 21aebece73549b3c4355a6060df410e9 )
• F35-Spesifikasi.doc ( 5c6148619abb10bb3789dcfb32f759a6 )

Salah satu dokumen yang ditemukan bernama ListOfHackedEmails.doc berisi daftar 34 alamat email milik domain @ aselsan.com.tr .

Spesialis Grup-IB memeriksa alamat surat untuk kebocoran yang ada dalam domain publik dan menemukan bahwa 28 di antaranya dikompromikan dalam kebocoran yang ditemukan sebelumnya. Memeriksa campuran kebocoran yang tersedia mengungkapkan sekitar 400 login unik yang terkait dengan domain ini, dan kata sandi untuk mereka. Penyerang mungkin menggunakan data ini dari akses terbuka untuk menyerang ASELSAN A.Ş.




Di antara sampel yang ditemukan adalah juga dokumen yang disebut F35-Spesifikasi.doc , mengacu pada pesawat tempur F-35. Dokumen umpan adalah spesifikasi dari pesawat pembom tempur multi-fungsional F-35, yang menunjukkan karakteristik dan harga pesawat. Tema dokumen umpan ini terkait langsung dengan penolakan AS untuk memasok F-35 setelah Turki membeli sistem S-400 dan ancaman Rusia mengirimkan informasi tentang F-35 Lightning II.

Semua data yang diperoleh menunjukkan bahwa target utama serangan cyber MuddyWater adalah organisasi yang berlokasi di Turki.

Siapakah Gladiyator_CRK dan Nima Nikjoo?

Sebelumnya, pada Maret 2019, dokumen jahat ditemukan dibuat oleh satu pengguna Windows dengan julukan Gladiyator_CRK. Dokumen-dokumen ini juga mendistribusikan backdoor POWERSTATS dan terhubung ke server C&C dengan nama yang sama dengan gladiyator [.] Tk .

Mungkin ini dilakukan setelah Nima Nikjoo memposting posting di Twitter pada 14 Maret 2019, di mana ia mencoba untuk memecahkan kode kode yang diasosiasikan dengan MuddyWater. Dalam komentar di tweet ini, peneliti mengatakan bahwa ia tidak dapat membagikan indikator kompromi dari program jahat ini, karena informasi ini bersifat rahasia. Sayangnya, catatan sudah dihapus, tetapi jejaknya tetap ada di jaringan:



Nima Nikjoo adalah pemilik profil Gladiyator_CRK di situs hosting video Iran dideo.ir dan videoi.ir. Di situs ini, ia menunjukkan eksploitasi PoC untuk menonaktifkan alat anti-virus dari berbagai vendor dan melewati kotak pasir. Nima Nikjoo menulis kepada dirinya sendiri bahwa ia adalah seorang spesialis dalam keamanan jaringan, serta seorang insinyur balik dan analis malware yang bekerja untuk MTN Irancell, sebuah perusahaan telekomunikasi Iran.

Tangkapan layar video yang disimpan dalam hasil pencarian Google:



Kemudian, pada 19 Maret 2019, pengguna Nima Nikjoo di jejaring sosial Twitter mengubah nama panggilannya menjadi Malware Fighter, dan juga menghapus posting dan komentar terkait. Profil Gladiyator_CRK pada hosting video dideo.ir juga dihapus, seperti di YouTube, dan profil itu sendiri dinamai N Tabrizi. Namun, setelah hampir sebulan (16 April 2019), akun Twitter kembali mulai menggunakan nama Nima Nikjoo.

Dalam perjalanan penelitian, para ahli Grup-IB menemukan bahwa Nima Nikjoo telah disebutkan sehubungan dengan kejahatan dunia maya. Pada bulan Agustus 2014, blog Iran Khabarestan menerbitkan informasi tentang individu-individu yang berafiliasi dengan kelompok cybercriminal Iranian Institute. Satu studi FireEye mengatakan bahwa Institut Nasr adalah kontraktor untuk APT33 dan juga berpartisipasi dalam serangan DDoS pada bank-bank AS dari 2011 hingga 2013 sebagai bagian dari kampanye yang disebut Operasi Ababil.

Jadi, blog yang sama menyebutkan Nima Nikju-Nikjoo, yang terlibat dalam pengembangan malware untuk memata-matai orang Iran, dan alamat emailnya: gladiyator_cracker @ yahoo [.] Com.

Cuplikan layar data yang terkait dengan penjahat cyber dari Iranian Nasr Institute:


Terjemahan yang disorot ke dalam bahasa Rusia: Nima Nikio - Pengembang Spyware - Alamat Email :.

Seperti yang dapat Anda lihat dari informasi ini, alamat email dikaitkan dengan alamat yang digunakan dalam serangan, dan pengguna Gladiyator_CRK dan Nima Nikjoo.

Selain itu, sebuah artikel bertanggal 15 Juni 2017 menyatakan bahwa Nikjoo ternyata agak ceroboh dengan memasang tautan ke Pusat Keamanan Kavosh dalam resume-nya. Diyakini bahwa Pusat Keamanan Kavosh didukung oleh negara Iran untuk membiayai peretas pro-pemerintah.

Informasi tentang perusahaan tempat Nima Nikjoo bekerja:


Pada profil pengguna di LinkedIn, Nima Nikjoo, pengguna Twitter, mengidentifikasi Pusat Keamanan Kavosh sebagai pekerjaan pertamanya, tempat ia bekerja dari 2006 hingga 2014. Selama pekerjaannya, ia mempelajari berbagai program jahat, dan juga berurusan dengan kebalikan dan pekerjaan yang berkaitan dengan kebingungan.

Informasi tentang perusahaan tempat Nima Nikjoo bekerja di LinkedIn:

MuddyWater dan harga diri yang tinggi

Sangat mengherankan bahwa kelompok MuddyWater dengan hati-hati memonitor semua laporan dan laporan para pakar keamanan informasi yang diterbitkan tentang mereka, dan bahkan secara khusus meninggalkan bendera palsu terlebih dahulu untuk menjatuhkan para peneliti keluar dari jalur. Sebagai contoh, serangan pertama mereka menyesatkan para ahli karena mereka menemukan penggunaan DNS Messenger, yang biasanya dikaitkan dengan grup FIN7. Dalam serangan lain, mereka memasukkan string dalam bahasa Cina ke dalam kode.

Selain itu, kelompok ini sangat suka meninggalkan pesan kepada para peneliti. Sebagai contoh, mereka tidak menyukai fakta bahwa Kaspersky Lab dalam peringkat ancamannya untuk tahun ini menempatkan MuddyWater di tempat ketiga. Pada saat itu, seseorang - mungkin kelompok MuddyWater - mengunggah exploit ke YouTube yang mematikan antivirus LK di YouTube. Mereka meninggalkan komentar di bawah artikel itu.

Cuplikan layar video tentang menonaktifkan Kaspersky Lab antivirus dan komentar di bawahnya:



Masih sulit untuk membuat kesimpulan yang jelas tentang keterlibatan Nima Nikjoo. Pakar Group-IB sedang mempertimbangkan dua versi. Nima Nikjoo, mungkin, adalah seorang peretas dari kelompok MuddyWater, yang muncul karena kecerobohannya dan meningkatnya aktivitas di jaringan. Opsi kedua - secara khusus "disorot" oleh anggota lain dari kelompok untuk menghindari kecurigaan. Bagaimanapun, Group-IB melanjutkan penelitiannya dan pasti akan melaporkan hasilnya.

Adapun APT Iran, setelah serangkaian kebocoran dan pengeringan, mereka kemungkinan menghadapi "debriefing" yang serius - peretas akan dipaksa untuk secara serius mengubah alat mereka, membersihkan rel dan menemukan kemungkinan tahi lalat di barisan mereka. Para ahli tidak mengesampingkan bahwa mereka bahkan akan mengambil timeout, tetapi setelah istirahat singkat, serangan APT Iran berlanjut lagi.

Group-IB tahu segalanya tentang kejahatan dunia maya, tetapi menceritakan hal-hal yang paling menarik.

Saluran Telegram penuh aksi (https://t.me/Group_IB) tentang keamanan informasi, peretas dan serangan dunia maya, peretas dan perompak internet. Investigasi kejahatan dunia maya yang sensasional dengan langkah-langkah, kasus-kasus praktis menggunakan teknologi Grup-IB dan, tentu saja, rekomendasi tentang bagaimana menghindari menjadi korban di Internet.

Group-IB Photowire di Instagram www.instagram.com/group_ib
Twitter berita pendek twitter.com/GroupIB

Group-IB adalah salah satu pengembang solusi terkemuka untuk mendeteksi dan mencegah serangan cyber, mendeteksi penipuan, dan melindungi kekayaan intelektual dalam jaringan yang berkantor pusat di Singapura.