«Слив» иранских APT-групп начался с того, что некто Lab Dookhtegan обнародовал исходные коды шести инструментов APT34 (она же OilRig и HelixKitten), раскрыл IP-адреса и домены, участвующие в операциях, а также данные о 66 жертвах хакеров, среди которых оказались компании Etihad Airways и Emirates National Oil. Также Lab Dookhtegan «слил» и данные о прошлых операциях группы и информацию о сотрудниках Министерства информации и национальной безопасности Ирана, которые якобы связаны с операциями группировки. OilRig — это связанная с Ираном APT-группа, которая существует примерно с 2014 года и нацелена на правительственные, финансовые и военные организации, а также энергетические и телекоммуникационные компании на Ближнем Востоке и в Китае.

После засветки OilRig «сливы» продолжились — в даркнете и в Telegram появилась информация о деятельности другой прогосударственной группы из Ирана — MuddyWater. Однако, в отличие от первой утечки, на этот раз были опубликованы не исходные коды, а дампы, включающие скриншоты исходников, управляющих серверов, а также IP-адреса прошлых жертв хакеров. В этот раз ответственность за утечку про MuddyWater взяли на себя хакеры Green Leakers. Им принадлежат несколько Telegram-каналов и сайтов в даркнете, где они рекламируют и продают данные, связанные с операциями MuddyWater.

MuddyWater — это группа, которая действует с 2017 года в странах Middle East. Например, как отмечают специалисты Group-IB, в период с февраля по апрель 2019 года хакеры провели серию фишинговых рассылок, нацеленных на правительственные, образовательные организации, финансовые, телекоммуникационные и оборонные компании Турции, Ирана, Афганистана, Ирака и Азербайджана.

Участники группы используют бэкдор собственной разработки на основе PowerShell, который получил название POWERSTATS. Он может:

• собирать данные о локальных и доменных учётных записях, доступных файловых серверах, внутреннем и внешнем IP-адресе, названии и архитектуре ОС;
• осуществлять удаленное выполнение кода;
• осуществлять загрузку и выгрузку файлов через C&C;
• определять наличие отладочных программ, используемых при анализе вредоносных файлов;
• отключать систему, если будут найдены программы для анализа вредоносных файлов;
• удалять файлы с локальных дисков;
• делать скриншоты;
• отключать защитные меры продуктов Microsoft Office.

В какой-то момент злоумышленники допустили ошибку и исследователям из компании ReaQta удалось получить конечный IP-адрес, который находился в Тегеране. Учитывая цели, атакуемые группой, а также ее задачи, связанные с кибершпионажем, специалисты предположили, что группа представляет интересы правительства Ирана.

10 апреля 2019 года специалисты Group-IB обнаружили утечку почтовых адресов турецкой компании ASELSAN A.Ş — крупнейшей компании в сфере военной электроники в Турции. Среди ее продуктов — радары и радиоэлектронные средства, электрооптика, авионика, беспилотные системы, наземные, военно-морские и оружейные системы, а также системы противовоздушной обороны.

Изучая один из новых образцов вредоносной программы POWERSTATS, эксперты Group-IB установили, что группа злоумышленников MuddyWater использовала в качестве документа-приманки лицензионное соглашение между Koç Savunma, компанией-производителем решений в области информационных и оборонных технологий, и Tubitak Bilgem исследовательским центром информационной безопасности и передовых технологий. В качестве контактного лица, выступающего от Koç Savunma, был указан Tahir Taner Tımış, который занимал должность Programs Manager в Koç Bilgi ve Savunma Teknolojileri A.Ş. с сентября 2013 до декабря 2018 года. Позже он начал работать в ASELSAN A.Ş.

После того, как пользователь активирует вредоносные макросы, на компьютер жертвы загружается бэкдор POWERSTATS.

Благодаря метаданным этого документа-приманки (MD5: 0638adf8fb4095d60fbef190a759aa9e) исследователи смогли найти три дополнительных образца, содержащих идентичные значения, среди которых дата и время создания, имя пользователя и список содержащихся макросов:

• ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
• asd.doc (21aebece73549b3c4355a6060df410e9)
• F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)

Один из обнаруженных документов с именем ListOfHackedEmails.doc содержит список из 34 почтовых адресов, принадлежащих домену @aselsan.com.tr.

Специалисты Group-IB проверили почтовые адреса в утечках, находящихся в публичном доступе, и выявили, что 28 из них были скомпрометированы в ранее обнаруженных утечках. Проверка микса из доступных утечек показала порядка 400 уникальных логинов, связанных с этим доменом, и паролей к ним. Возможно, злоумышленники воспользовались этими данными из открытого доступа для атаки на компанию ASELSAN A.Ş.

Среди обнаруженных образцов также оказался документ с названием F35-Specifications.doc, отсылающий к истребителю F-35. Документ-приманка представляет из себя спецификацию многофункциональных истребителей-бомбардировщиков F-35 с указанием характеристик самолетов и ценой. Тема данного документа-приманки напрямую относится к отказу США поставлять F-35 после покупки Турцией комплексов С-400 и угрозы передачи России сведений о F-35 Lightning II.

Все полученные данные говорили о том, что главной целью кибератак MuddyWater стали организации, расположенные в Турции.

Ранее, в марте 2019 года, были обнаружены вредоносные документы, созданные одним пользователем Windows под ником Gladiyator_CRK. Данные документы также распространяли бэкдор POWERSTATS и подключались к C&C-серверу со схожим названием gladiyator[.]tk.

Возможно, это было сделано после того, как 14 марта 2019 пользователь Nima Nikjoo опубликовал в Twitter запись, в которой он пытается декодировать обфусцированный код, связанный с MuddyWater. В комментариях к этому твиту исследователь сказал, что не может поделиться индикаторами компрометации этой вредоносной программы, так как эта информация является конфиденциальной. К сожалению, запись уже удалена, но остались ее следы в сети:

Nima Nikjoo — владелец профиля Gladiyator_CRK на иранских видеохостингах dideo.ir и videoi.ir. На этом сайте он демонстрирует PoC эксплойтов для отключения антивирусных средств различных вендоров и обхода песочниц. Про себя Nima Nikjoo пишет, что он является специалистом в области сетевой безопасности, а также реверс-инженером и аналитиком вредоносных программ, который работает в MTN Irancell — иранская телекоммуникационная компания.

Скриншот сохраненных видео в поисковой выдаче Google:

Позже, 19 марта 2019 года, пользователь Nima Nikjoo в социальной сети Twitter изменил свой никнейм на Malware Fighter, а также удалил связанные посты и комментарии. Профиль Gladiyator_CRK на видео-хостинге dideo.ir также был удален, как и на YouTube, а сам профиль переименован в N Tabrizi. Однако спустя почти месяц (16 апреля 2019 года) аккаунт в Twitter снова стал использовать имя Nima Nikjoo.

В ходе исследования специалисты Group-IB обнаружили, что Nima Nikjoo уже упоминался в связи с киберпреступной деятельностью. В августе 2014 года в блоге Iran Khabarestan была опубликована информация о лицах, связанных с киберпреступной группой Iranian Nasr Institute. В одном из исследований FireEye говорилось, что Nasr Institute был подрядчиком APT33, а также участвовал в DDoS-атаках на американские банки в период с 2011 по 2013 годы в рамках кампании под названием Operation Ababil.

Так вот в этом же блоге упоминался Nima Nikju-Nikjoo, который занимался разработкой вредоносных программ, чтобы шпионить за иранцами, и его адрес электронной почты: gladiyator_cracker@yahoo[.]com.

Скриншот данных, которые относят к киберпреступникам из Iranian Nasr Institute:

Как видно из этой информации, электронный адрес имеет связь с адресом, используемым в атаках, и пользователями Gladiyator_CRK и Nima Nikjoo.

Кроме того, в статье от 15 июня 2017 года говорилось, что Nikjoo оказался несколько небрежным, публикуя ссылки на компанию Kavosh Security Center в своем резюме. Есть мнение, что организация Kavosh Security Center поддерживается иранским государством для финансирования проправительственных хакеров.

Информация о компании, в которой работал Nima Nikjoo:

В профиле на LinkedIn у пользователя из Twitter Nima Nikjoo первым местом работы указан Kavosh Security Center, где он проработал с 2006 по 2014 год. За время работы он изучил различные вредоносные программы, а также имел дело с реверсом и работами, связанными с обфускацией.

Информация о компании, в которой работал Nima Nikjoo, на LinkedIn:

Любопытно, что группа MuddyWater внимательно мониторит все публикуемые о них отчеты и сообщения экспертов информационной безопасности, и даже специально сначала оставляла фальшивые флаги, чтобы сбить исследователей со следа. Например, их первые атаки ввели экспертов в заблуждение, поскольку было обнаружено использование DNS Messenger, который обычно связывали с группой FIN7. В других атаках они вставляли в код строки на китайском.

Кроме того, группа очень любит оставлять исследователям послания. Например, им не понравилось, что «Лаборатория Касперского» в своем свой рейтинге угроз за год поместила MuddyWater на 3 место. В тот же момент кто-то — предположительно группа MuddyWater — загрузил на YouTube PoC эксплойта, отключающего антивирус «ЛК». Они же оставили комментарий под статьей.

Скриншоты видео по отключению антивируса «Лаборатории Касперского» и комментария под ним:

Пока сложно сделать однозначный вывод о причастности «Nima Nikjoo». Эксперты Group-IB рассматривают две версии. Nima Nikjoo, действительно, может является хакером из группы MuddyWater, который засветился из-за своей небрежности и повышенной активности в сети. Второй вариант – его специально "засветили" другие участники группы, чтобы отвести от себя подозрения. В любом случае Group-IB продолжает свое исследование и обязательно сообщит о его результатах.

Что касается иранских APT, то после серии утечек и сливов их вероятно ждет серьезный «разбор полетов» — хакеры будут вынуждены серьезно изменить свой инструментарий, подчистить следы и найти в своих рядах возможных «кротов». Эксперты не исключали, что они даже возьмут тайм-аут, но после небольшого перерыва атаки иранских APT снова продолжились.