Águas turvas: como os hackers da MuddyWater atacaram um fabricante turco de eletrônicos militares

Os hackers pró-governo iranianos têm grandes problemas. Durante a primavera, pessoas não identificadas publicaram “ameixas secretas” no Telegram - informações sobre os grupos APT associados ao governo iraniano - OilRig e MuddyWater - suas ferramentas, vítimas, conexões. Mas não sobre todo mundo. Em abril, os especialistas do Grupo-IB descobriram um vazamento nos endereços postais da empresa turca ASELSAN A.Ş, que produz estações de rádio militares táticas e sistemas de defesa eletrônica para as forças armadas turcas. Anastasia Tikhonova , chefe do grupo de pesquisa de ameaças complexas do Grupo-IB, e Nikita Rostovtsev , analista júnior do Grupo-IB, descreveram o curso do ataque à ASELSAN A.Ş e encontraram um possível membro do MuddyWater .

Exposição ao telegrama

O “dreno” dos grupos iranianos do APT começou com o fato de alguém Lab Dookhtegan ter revelado os códigos-fonte de seis ferramentas do APT34 (também conhecidas como OilRig e HelixKitten), revelado os endereços IP e domínios envolvidos nas operações, além de dados sobre 66 vítimas de hackers, entre as quais Etihad Airways e Emirates National Oil. O Lab Dookhtegan também "vazou" dados sobre as operações passadas do grupo e informações sobre funcionários do Ministério da Informação e Segurança Nacional do Irã, que supostamente estão associados às operações do grupo. A OilRig é um grupo APT relacionado ao Irã que existe desde 2014 e é destinado a organizações governamentais, financeiras e militares, bem como empresas de energia e telecomunicações no Oriente Médio e na China.

Após a exposição do OilRig, as “ameixas” continuaram - no darknet e no Telegram, surgiram informações sobre as atividades de outro grupo pró-governo do Irã - MuddyWater. No entanto, ao contrário do primeiro vazamento, desta vez não foram publicados códigos-fonte, mas despejos, incluindo capturas de tela de códigos-fonte, servidores de controle e endereços IP de vítimas anteriores de hackers. Dessa vez, os hackers do Green Leakers assumiram a responsabilidade pelo vazamento do MuddyWater. Eles possuem vários canais de Telegram e sites darknet, onde anunciam e vendem dados relacionados às operações do MuddyWater.

Cyberspies com o Oriente Médio

O MuddyWater é um grupo que opera desde 2017 nos países do Oriente Médio. Por exemplo, como observam os especialistas do Grupo-IB, entre fevereiro e abril de 2019, os hackers realizaram uma série de correspondências de phishing destinadas a governos, organizações educacionais, empresas financeiras, de telecomunicações e defesa na Turquia, Irã, Afeganistão, Iraque e Azerbaijão.

Os membros do grupo usam um backdoor proprietário baseado no PowerShell, chamado POWERSTATS . Ele pode:

• coletar dados sobre contas locais e de domínio, servidores de arquivos acessíveis, endereço IP interno e externo, nome e arquitetura do SO;
• executar execução remota de código;
• baixar e fazer upload de arquivos através do C&C;
• detectar a presença de programas de depuração usados ​​na análise de arquivos maliciosos;
• desative o sistema se forem encontrados programas de análise de malware;
• excluir arquivos de unidades locais;
• tirar screenshots;
• Desative medidas de proteção para produtos do Microsoft Office.

Em algum momento, os atacantes cometeram um erro e os pesquisadores da ReaQta conseguiram obter o endereço IP final, localizado em Teerã. Considerando os objetivos atacados pelo grupo, bem como suas tarefas relacionadas à espionagem cibernética, os especialistas sugeriram que o grupo represente os interesses do governo iraniano.

Turquia à mão armada

Em 10 de abril de 2019, os especialistas do Grupo-IB descobriram um vazamento nos endereços da empresa turca ASELSAN A.Ş, a maior empresa de eletrônicos militares na Turquia. Seus produtos incluem radares e equipamentos eletrônicos, eletro-óptica, aviônica, sistemas não tripulados, sistemas terrestres, navais e de armas, bem como sistemas de defesa aérea.

Estudando uma das novas amostras do malware POWERSTATS, os especialistas do Grupo-IB descobriram que o grupo de atacantes MuddyWater usava um contrato de licenciamento entre a Koç Savunma, uma empresa que fabrica soluções de tecnologia da informação e defesa, e a Tubitak Bilgem, um centro de pesquisa e segurança da informação, como documento de chamariz. tecnologia avançada. A pessoa de contato de Koç Savunma era Tahir Taner Tımış, que atuou como gerente de programas em Koç Bilgi e Savunma Teknolojileri A.Ş. de setembro de 2013 a dezembro de 2018. Mais tarde, ele começou a trabalhar na ASELSAN A.Ş.


Depois que o usuário ativa macros maliciosas, o backdoor do POWERSTATS é baixado no computador da vítima.

Graças aos metadados deste documento de isca (MD5: 0638adf8fb4095d60fbef190a759aa9e ), os pesquisadores conseguiram encontrar três amostras adicionais contendo valores idênticos, incluindo data e hora da criação, nome de usuário e uma lista de macros:

• ListOfHackedEmails.doc ( eed599981c097944fa143e7d7f7e17b1 )
• asd.doc ( 21aebece73549b3c4355a6060df410e9 )
• F35-Specifications.doc ( 5c6148619abb10bb3789dcfb32f759a6 )

Um dos documentos encontrados denominados ListOfHackedEmails.doc contém uma lista de 34 endereços de email pertencentes ao domínio @ aselsan.com.tr .

Os especialistas do Grupo-IB verificaram os endereços para vazamentos que são de domínio público e descobriram que 28 deles foram comprometidos em vazamentos descobertos anteriormente. A verificação da mistura de vazamentos disponíveis revelou cerca de 400 logins exclusivos associados a esse domínio e senhas para eles. Os invasores podem ter usado esses dados de acesso aberto para atacar o ASELSAN A.Ş.




Entre as amostras encontradas, havia também um documento chamado F35-Specifications.doc , referente ao caça F-35. O documento da isca é uma especificação dos caças-bombardeiros multifuncionais F-35, indicando as características e o preço das aeronaves. O tema deste documento de isca está diretamente relacionado à recusa dos EUA em fornecer o F-35 após a compra dos sistemas S-400 pela Turquia e à ameaça de transferir informações sobre o F-35 Lightning II para a Rússia.

Todos os dados obtidos indicaram que o principal alvo dos ataques cibernéticos do MuddyWater eram organizações localizadas na Turquia.

Quem são Gladiyator_CRK e Nima Nikjoo?

No início de março de 2019, foram descobertos documentos maliciosos criados por um usuário do Windows sob o apelido Gladiyator_CRK. Esses documentos também distribuíram o backdoor POWERSTATS e conectado ao servidor C&C com o nome semelhante gladiyator [.] Tk .

Talvez isso tenha sido feito depois que Nima Nikjoo postou uma postagem no Twitter em 14 de março de 2019, na qual ele tenta decodificar o código ofuscado associado ao MuddyWater. Nos comentários deste tweet, o pesquisador disse que não poderia compartilhar indicadores de comprometimento desse programa malicioso, pois essas informações são confidenciais. Infelizmente, o registro já foi excluído, mas seus rastreamentos permaneceram na rede:



Nima Nikjoo é proprietária do perfil Gladiyator_CRK nos sites de hospedagem de vídeo iranianos dideo.ir e videoi.ir. Neste site, ele demonstra explorações de PoC para desativar ferramentas antivírus de vários fornecedores e ignorar caixas de areia. Nima Nikjoo escreve para si mesmo que é especialista em segurança de redes, além de engenheiro reverso e analista de malware que trabalha na MTN Irancell, uma empresa iraniana de telecomunicações.

Captura de tela dos vídeos salvos nos resultados de pesquisa do Google:



Mais tarde, em 19 de março de 2019, o usuário Nima Nikjoo na rede social Twitter mudou seu apelido para Malware Fighter e também excluiu postagens e comentários relacionados. O perfil Gladiyator_CRK no vídeo que hospeda o dideo.ir também foi excluído, como no YouTube, e o próprio perfil foi renomeado como N Tabrizi. No entanto, depois de quase um mês (16 de abril de 2019), a conta do Twitter novamente começou a usar o nome Nima Nikjoo.

No decorrer do estudo, os especialistas do Grupo-IB descobriram que Nima Nikjoo já havia sido mencionado em conexão com o cibercrime. Em agosto de 2014, o blog do Iran Khabarestan publicou informações sobre indivíduos afiliados ao grupo de cibercriminosos do Iranr Nasr Institute. Um estudo da FireEye disse que o Nasr Institute era contratado pelo APT33 e também participou de ataques DDoS a bancos americanos de 2011 a 2013 como parte de uma campanha chamada Operação Ababil.

Assim, o mesmo blog mencionou Nima Nikju-Nikjoo, envolvido no desenvolvimento de malware para espionar iranianos, e seu endereço de e-mail: gladiyator_cracker @ yahoo [.] Com.

Captura de tela dos dados relacionados a cibercriminosos do Iranr Nasr Institute:


Tradução do realçado para o russo: Nima Nikio - Spyware Developer - Endereço de Email :.

Como você pode ver nessas informações, o endereço de email está associado ao endereço usado nos ataques e aos usuários do Gladiyator_CRK e Nima Nikjoo.

Além disso, um artigo de 15 de junho de 2017 afirmou que Nikjoo se mostrou um pouco descuidado, postando links no Kavosh Security Center em seu currículo. Acredita- se que o Centro de Segurança Kavosh seja apoiado pelo estado iraniano para financiar hackers pró-governo.

Informações sobre a empresa em que Nima Nikjoo trabalhou:


No perfil de um usuário no LinkedIn, Nima Nikjoo, um usuário do Twitter, identificou o Kavosh Security Center como seu primeiro emprego, onde trabalhou de 2006 a 2014. Durante seu trabalho, ele estudou vários programas maliciosos e também lidou com o trabalho inverso e relacionado à ofuscação.

Informações sobre a empresa em que Nima Nikjoo trabalhou no LinkedIn:

MuddyWater e alta auto-estima

É curioso que o grupo MuddyWater monitore cuidadosamente todos os relatórios e relatórios de especialistas em segurança da informação publicados sobre eles, e até mesmo tenha deixado bandeiras falsas primeiro para derrubar os pesquisadores. Por exemplo, seus primeiros ataques enganaram os especialistas porque descobriram o uso do DNS Messenger, que geralmente era associado ao grupo FIN7. Em outros ataques, eles inseriram seqüências em chinês no código.

Além disso, o grupo gosta muito de deixar mensagens para os pesquisadores. Por exemplo, eles não gostaram do fato de a Kaspersky Lab em seu ranking de ameaças para o ano ter colocado o MuddyWater em terceiro lugar. Naquele exato momento, alguém - presumivelmente o grupo MuddyWater - enviou uma exploração ao YouTube que desativou o antivírus LK no YouTube. Eles deixaram um comentário no artigo.

Capturas de tela do vídeo sobre a desativação do antivírus da Kaspersky Lab e o comentário abaixo:



Ainda é difícil fazer uma conclusão inequívoca sobre o envolvimento de Nima Nikjoo. Os especialistas do Grupo-IB estão considerando duas versões. Nima Nikjoo, de fato, pode ser um hacker do grupo MuddyWater, que apareceu devido ao seu descuido e ao aumento da atividade na rede. A segunda opção - foi especialmente destacada por outros membros do grupo, a fim de evitar suspeitas. De qualquer forma, o Grupo-IB continua sua pesquisa e certamente reportará seus resultados.

Quanto aos APTs iranianos, após uma série de vazamentos e drenos, é provável que eles enfrentem um sério "interrogatório" - os hackers serão forçados a mudar seriamente suas ferramentas, limpar os trilhos e encontrar possíveis toupeiras em suas fileiras. Especialistas não descartaram a possibilidade de intervalo, mas após um breve intervalo, os ataques dos APT iranianos continuaram novamente.

O Grupo IB sabe tudo sobre crimes cibernéticos, mas conta as coisas mais interessantes.

O canal do Telegram, repleto de ação (https://t.me/Group_IB), sobre segurança da informação, hackers e ataques cibernéticos, hacktivistas e piratas da Internet. Investigações do crime cibernético sensacional por etapas, casos práticos usando as tecnologias do Grupo-IB e, é claro, recomendações sobre como evitar se tornar uma vítima na Internet.

Grupo-IB Photowire no Instagram www.instagram.com/group_ib
Notícias curtas do Twitter twitter.com/GroupIB

O Group-IB é um dos principais desenvolvedores de soluções para detectar e prevenir ataques cibernéticos, detectar fraudes e proteger a propriedade intelectual em uma rede sediada em Cingapura.