РУССКИЙ
РУССКИЙ
ENGLISH
29.05.2019

Мутные воды

Как хакеры из MuddyWater атаковали турецкого производителя военной электроники
У иранских прогосударственных хакеров — большие проблемы. Всю весну неизвестные публиковали в Telegram «секретные сливы» — информацию о связанных с правительством Ирана APT-группах — OilRig и MuddyWater — их инструментах, жертвах, связях. Но не о всех. В апреле специалисты Group-IB обнаружили утечку почтовых адресов турецкой корпорации ASELSAN A.Ş, занимающуюся производством тактических военных радиостанций и электронных систем обороны для вооруженных сил Турции. Анастасия Тихонова, руководитель группы исследования сложных угроз Group-IB, и Никита Ростовцев, младший аналитик Group-IB, описали ход атаки на ASELSAN A.Ş и нашли возможного участника MuddyWater.
Засветка через Telegram
«Слив» иранских APT-групп начался с того, что некто Lab Dookhtegan обнародовал исходные коды шести инструментов APT34 (она же OilRig и HelixKitten), раскрыл IP-адреса и домены, участвующие в операциях, а также данные о 66 жертвах хакеров, среди которых оказались компании Etihad Airways и Emirates National Oil. Также Lab Dookhtegan «слил» и данные о прошлых операциях группы и информацию о сотрудниках Министерства информации и национальной безопасности Ирана, которые якобы связаны с операциями группировки. OilRig — это связанная с Ираном APT-группа, которая существует примерно с 2014 года и нацелена на правительственные, финансовые и военные организации, а также энергетические и телекоммуникационные компании на Ближнем Востоке и в Китае.

После засветки OilRig «сливы» продолжились — в даркнете и в Telegram появилась информация о деятельности другой прогосударственной группы из Ирана — MuddyWater. Однако, в отличие от первой утечки, на этот раз были опубликованы не исходные коды, а дампы, включающие скриншоты исходников, управляющих серверов, а также IP-адреса прошлых жертв хакеров. В этот раз ответственность за утечку про MuddyWater взяли на себя хакеры Green Leakers. Им принадлежат несколько Telegram-каналов и сайтов в даркнете, где они рекламируют и продают данные, связанные с операциями MuddyWater.
Кибершпионы с Middle East
MuddyWater — это группа, которая действует с 2017 года в странах Middle East. Например, как отмечают специалисты Group-IB, в период с февраля по апрель 2019 года хакеры провели серию фишинговых рассылок, нацеленных на правительственные, образовательные организации, финансовые, телекоммуникационные и оборонные компании Турции, Ирана, Афганистана, Ирака и Азербайджана.

Участники группы используют бэкдор собственной разработки на основе PowerShell, который получил название POWERSTATS. Он может:

  • собирать данные о локальных и доменных учётных записях, доступных файловых серверах, внутреннем и внешнем IP-адресе, названии и архитектуре ОС;
  • осуществлять удаленное выполнение кода;
  • осуществлять загрузку и выгрузку файлов через C&C;
  • определять наличие отладочных программ, используемых при анализе вредоносных файлов;
  • отключать систему, если будут найдены программы для анализа вредоносных файлов;
  • удалять файлы с локальных дисков;
  • делать скриншоты;
  • отключать защитные меры продуктов Microsoft Office.

В какой-то момент злоумышленники допустили ошибку и исследователям из компании ReaQta удалось получить конечный IP-адрес, который находился в Тегеране. Учитывая цели, атакуемые группой, а также ее задачи, связанные с кибершпионажем, специалисты предположили, что группа представляет интересы правительства Ирана.
Индикаторы атак
C&C:

  • gladiyator[.]tk
  • 94.23.148[.]194
  • 192.95.21[.]28
  • 46.105.84[.]146
  • 185.162.235[.]182

Файлы:

  • 09aabd2613d339d90ddbd4b7c09195a9
  • cfa845995b851aacdf40b8e6a5b87ba7
  • a61b268e9bc9b7e6c9125cdbfb1c422a
  • f12bab5541a7d8ef4bbca81f6fc835a3
  • a066f5b93f4ac85e9adfe5ff3b10bc28
  • 8a004e93d7ee3b26d94156768bc0839d
  • 0638adf8fb4095d60fbef190a759aa9e
  • eed599981c097944fa143e7d7f7e17b1
  • 21aebece73549b3c4355a6060df410e9
  • 5c6148619abb10bb3789dcfb32f759a6
Турция под прицелом
10 апреля 2019 года специалисты Group-IB обнаружили утечку почтовых адресов турецкой компании ASELSAN A.Ş — крупнейшей компании в сфере военной электроники в Турции. Среди ее продуктов — радары и радиоэлектронные средства, электрооптика, авионика, беспилотные системы, наземные, военно-морские и оружейные системы, а также системы противовоздушной обороны.

Изучая один из новых образцов вредоносной программы POWERSTATS, эксперты Group-IB установили, что группа злоумышленников MuddyWater использовала в качестве документа-приманки лицензионное соглашение между Koç Savunma, компанией-производителем решений в области информационных и оборонных технологий, и Tubitak Bilgem исследовательским центром информационной безопасности и передовых технологий. В качестве контактного лица, выступающего от Koç Savunma, был указан Tahir Taner Tımış, который занимал должность Programs Manager в Koç Bilgi ve Savunma Teknolojileri A.Ş. с сентября 2013 до декабря 2018 года. Позже он начал работать в ASELSAN A.Ş.
После того, как пользователь активирует вредоносные макросы, на компьютер жертвы загружается бэкдор POWERSTATS.

Благодаря метаданным этого документа-приманки (MD5: 0638adf8fb4095d60fbef190a759aa9e) исследователи смогли найти три дополнительных образца, содержащих идентичные значения, среди которых дата и время создания, имя пользователя и список содержащихся макросов:

  • ListOfHackedEmails.doc (eed599981c097944fa143e7d7f7e17b1)
  • asd.doc (21aebece73549b3c4355a6060df410e9)
  • F35-Specifications.doc (5c6148619abb10bb3789dcfb32f759a6)
Один из обнаруженных документов с именем ListOfHackedEmails.doc содержит список из 34 почтовых адресов, принадлежащих домену @aselsan.com.tr.

Специалисты Group-IB проверили почтовые адреса в утечках, находящихся в публичном доступе, и выявили, что 28 из них были скомпрометированы в ранее обнаруженных утечках. Проверка микса из доступных утечек показала порядка 400 уникальных логинов, связанных с этим доменом, и паролей к ним. Возможно, злоумышленники воспользовались этими данными из открытого доступа для атаки на компанию ASELSAN A.Ş.
Среди обнаруженных образцов также оказался документ с названием F35-Specifications.doc, отсылающий к истребителю F-35. Документ-приманка представляет из себя спецификацию многофункциональных истребителей-бомбардировщиков F-35 с указанием характеристик самолетов и ценой. Тема данного документа-приманки напрямую относится к отказу США поставлять F-35 после покупки Турцией комплексов С-400 и угрозы передачи России сведений о F-35 Lightning II.

Все полученные данные говорили о том, что главной целью кибератак MuddyWater стали организации, расположенные в Турции.
Кто такие Gladiyator_CRK и Nima Nikjoo?
Ранее, в марте 2019 года, были обнаружены вредоносные документы, созданные одним пользователем Windows под ником Gladiyator_CRK. Данные документы также распространяли бэкдор POWERSTATS и подключались к C&C-серверу со схожим названием gladiyator[.]tk.

Возможно, это было сделано после того, как 14 марта 2019 пользователь Nima Nikjoo опубликовал в Twitter запись, в которой он пытается декодировать обфусцированный код, связанный с MuddyWater. В комментариях к этому твиту исследователь сказал, что не может поделиться индикаторами компрометации этой вредоносной программы, так как эта информация является конфиденциальной. К сожалению, запись уже удалена, но остались ее следы в сети:
Nima Nikjoo — владелец профиля Gladiyator_CRK на иранских видеохостингах dideo.ir и videoi.ir. На этом сайте он демонстрирует PoC эксплойтов для отключения антивирусных средств различных вендоров и обхода песочниц. Про себя Nima Nikjoo пишет, что он является специалистом в области сетевой безопасности, а также реверс-инженером и аналитиком вредоносных программ, который работает в MTN Irancell — иранская телекоммуникационная компания.

Скриншот сохраненных видео в поисковой выдаче Google:
Позже, 19 марта 2019 года, пользователь Nima Nikjoo в социальной сети Twitter изменил свой никнейм на Malware Fighter, а также удалил связанные посты и комментарии. Профиль Gladiyator_CRK на видео-хостинге dideo.ir также был удален, как и на YouTube, а сам профиль переименован в N Tabrizi. Однако спустя почти месяц (16 апреля 2019 года) аккаунт в Twitter снова стал использовать имя Nima Nikjoo.

В ходе исследования специалисты Group-IB обнаружили, что Nima Nikjoo уже упоминался в связи с киберпреступной деятельностью. В августе 2014 года в блоге Iran Khabarestan была опубликована информация о лицах, связанных с киберпреступной группой Iranian Nasr Institute. В одном из исследований FireEye говорилось, что Nasr Institute был подрядчиком APT33, а также участвовал в DDoS-атаках на американские банки в период с 2011 по 2013 годы в рамках кампании под названием Operation Ababil.

Так вот в этом же блоге упоминался Nima Nikju-Nikjoo, который занимался разработкой вредоносных программ, чтобы шпионить за иранцами, и его адрес электронной почты: gladiyator_cracker@yahoo[.]com.

Скриншот данных, которые относят к киберпреступникам из Iranian Nasr Institute:
Перевод выделенного на русский: Нима Никио — Разработчик шпионских программ — Адрес электронной почты:
Как видно из этой информации, электронный адрес имеет связь с адресом, используемым в атаках, и пользователями Gladiyator_CRK и Nima Nikjoo.

Кроме того, в статье от 15 июня 2017 года говорилось, что Nikjoo оказался несколько небрежным, публикуя ссылки на компанию Kavosh Security Center в своем резюме. Есть мнение, что организация Kavosh Security Center поддерживается иранским государством для финансирования проправительственных хакеров.

Информация о компании, в которой работал Nima Nikjoo:
В профиле на LinkedIn у пользователя из Twitter Nima Nikjoo первым местом работы указан Kavosh Security Center, где он проработал с 2006 по 2014 год. За время работы он изучил различные вредоносные программы, а также имел дело с реверсом и работами, связанными с обфускацией.

Информация о компании, в которой работал Nima Nikjoo, на LinkedIn:
MuddyWater и завышенная самооценка
Любопытно, что группа MuddyWater внимательно мониторит все публикуемые о них отчеты и сообщения экспертов информационной безопасности, и даже специально сначала оставляла фальшивые флаги, чтобы сбить исследователей со следа. Например, их первые атаки ввели экспертов в заблуждение, поскольку было обнаружено использование DNS Messenger, который обычно связывали с группой FIN7. В других атаках они вставляли в код строки на китайском.

Кроме того, группа очень любит оставлять исследователям послания. Например, им не понравилось, что «Лаборатория Касперского» в своем свой рейтинге угроз за год поместила MuddyWater на 3 место. В тот же момент кто-то — предположительно группа MuddyWater — загрузил на YouTube PoC эксплойта, отключающего антивирус «ЛК». Они же оставили комментарий под статьей.

Скриншоты видео по отключению антивируса «Лаборатории Касперского» и комментария под ним:
Пока сложно сделать однозначный вывод о причастности «Nima Nikjoo». Эксперты Group-IB рассматривают две версии. Nima Nikjoo, действительно, может является хакером из группы MuddyWater, который засветился из-за своей небрежности и повышенной активности в сети. Второй вариант – его специально "засветили" другие участники группы, чтобы отвести от себя подозрения. В любом случае Group-IB продолжает свое исследование и обязательно сообщит о его результатах.

Что касается иранских APT, то после серии утечек и сливов их вероятно ждет серьезный «разбор полетов» — хакеры будут вынуждены серьезно изменить свой инструментарий, подчистить следы и найти в своих рядах возможных «кротов». Эксперты не исключали, что они даже возьмут тайм-аут, но после небольшого перерыва атаки иранских APT снова продолжились.