Нови течове на ирански кибершпионски операции удариха Telegram и Dark Web

  • Sep 06, 2023

Този път не бяха пуснати хакерски инструменти, но течовете разкриха неизвестна преди това иранска APT група.

Две нови течове, разкриващи ирански кибершпионски операции, бяха публикувани онлайн, чрез канали на Telegram и уебсайтове в Тъмната мрежа и публичния интернет.

Вижте ал

  • 10 опасни уязвимости на приложения, за които да внимавате (безплатен PDF)

Едно изтичане твърди, че съдържа оперативни данни от хакерската група MuddyWater, докато второто изтичане разкрива информация за нова група идентифициран в официални документи на иранското правителство като института Рана -- и в момента не е свързан с известен ирански кибершпионаж група.

Първо изтичане се случи миналия месец

Тези две изтичания идват след миналия месец, мистериозна фигура, използваща псевдонима Lab Dookhtegam изхвърлен в канал в Telegram изходният код на няколко вида зловреден софтуер, свързани с APT34 (Oilrig), подкрепяна от иранското правителство група за кибершпионаж.

Тези две нови течове се различават от първите. Нито един от тях не включва изходен код за зловреден софтуер. Вместо това те съдържат изображения на изходен код с неизвестен произход, изображения на бекендове на сървъри за управление и управление и изображения, изброяващи минали хакнати жертви.

Множество фирми за киберсигурност, като Chronicle, FireEye и Palo Alto Networks, потвърди автентичността на това първо изтичане. Изследователи по сигурността от ClearSky Security и Лаборатории Минерва са потвърдили тази последна партида.

С две допълнителни изтичания в ефира, теорията, че сме свидетели на добре оркестрирана кампания за разкриване на хакерските операции на Иран, сега изглежда по-валидна от всякога.

Извършителите може би се надяват, че политическият ефект от разкриването на хаковете на Иран ще навреди на отношенията на страната с съседи, чуждестранни политически съюзници и компании от частния сектор, които може да преосмислят своите операции и отношения с Иран правителство.

Теч на MuddyWater

Това беше второто изтичане на информация, което се появи в очите на обществеността след изтичането на Lab Dookhtegam, което се случи в Telegram миналия месец. Група, наричаща себе си Green Leakers, пое отговорност.

Групата все още управлява два канала в Telegram и два различни портала в Dark Web, където продават данни, от които твърдят, че са операциите на MuddyWater APT (APT = усъвършенствана постоянна заплаха, име, използвано за описание на подкрепяно от правителството хакване групи).

Изображение: ZDNet
Изображение: ZDNet

Тъй като тези данни бяха пуснати за продажба, течовете не пуснаха никакви инструменти безплатно, като Lab Dookhtegam при първото изтичане. Вместо това те публикуваха:

- изображения, показващи изходния код на команден и контролен (C&C) сървър, използван от MuddyWater APT'
- изображения на задните части на сървъра на MuddyWater C&C --които също включват нередактирани IP адреси на някои от жертвите на MuddyWater.

Изображение: ZDNet

Тъй като течовете са разкрили само малка извадка от данни под формата на екранни снимки, журито все още не е наясно с автентичността на това изтичане; обаче засега не може да се отхвърли.

И двете ZDNet и Minerva Labs следят това изтичане за нови разработки, но освен че имат Каналите в Telegram са спрени и трябва да се създават нови, нищо ново не е споделено от няколко дни сега.

Изтичане на данни от института Рана

Третото изтичане на данни за ирански кибероперации, което ZDNet се проследява почти седмица, случи се на уебсайт в публичния интернет, написан на персийски език, и в канал в Telegram.

Лийкърите изхвърлиха малки фрагменти от документи, обозначени като „секретни“, които изглежда произхождат от Иранското министерство на разузнаването и който описва института Рана, изпълнител, нает за кибершпионаж операции.

За разлика от предполагаемото изтичане на MuddyWater, това е потвърдено от изследователи по сигурността с ClearSky Security, някои от водещите експерти в иранските хакерски операции.

Изтеклите документи са съкровищница от информация за заплахите за изследователите на APT и разкриват дейностите на нова група, чиито дейности никога не са били описани или дори забелязани до днес, въпреки че са активни оттогава 2015.

„Тези документи съдържат списъци на жертви, стратегии за кибератаки, предполагаеми зони на достъп, списък служители и екранни снимки от вътрешни уебсайтове, свързани със системите за шпионаж“, каза ClearSky в а отчет публикувано преди няколко часа.

„Документите хвърлят светлина върху някои аспекти от дейността на групата, по-специално: проследяване на иранци, проследяване на ирански граждани извън Иран и членове на групата.“

Изображение: ZDNet

Уебсайтът, където беше публикувана по-голямата част от изтичането на Rana, съдържаше личните данни на членовете на Rana Institute, заедно с куп информация за миналото кампании -- повечето от които се фокусираха върху хакване на авиокомпании за извличане на пътнически манифести и хакване на сайтове за резервации на пътувания за извличане на резервации и платежни карти числа.

Но в допълнение към авиокомпаниите и сайтовете за резервации, групата е насочена и към застрахователни, ИТ и телеком фирми, както и към правителствени агенции и отдели от цял ​​свят.

Изображение: ClearSky Security

Според изтеклите документи хакерите на Rana също бяха помолени да разработят зловреден софтуер, като най-забележителният проект беше възложен на техния екип е разработването на злонамерен софтуер, способен да повреди SCADA индустриални системи за управление --подобно на Stuxnet или Shamoon.

„Проектът беше неуспешен и не постигна целите си въпреки големия бюджет“, казаха изследователите на ClearSky.

Постигане на целите си

Чрез разобличаването на групата Rana изглежда, че разпространителите – които и да са те – постигат целта си да саботират операциите на Иран за кибершпионаж.

С инструментите за хакване на открито и с минали кампании, изложени на целия свят, хакерските групи на Иран ще трябва да преработят инструментите и съсредоточете се върху нови кампании в бъдеще, потенциално забавяне на текущи или планирани хакерски усилия - точно това, което може да имат разпространителите издирва се.

Изтичане на данни: най-често срещаните източници

Свързано покритие на киберсигурността:

  • Хакер изтрива Git хранилища и иска откуп
  • Японското правителство ще създаде и поддържа защитен зловреден софтуер
  • Китайски хакери са използвали злонамерен софтуер на NSA година преди изтичането на Shadow Brokers
  • Открито е нарастване на атаките на рансъмуер MegaCortex
  • WordPress най-накрая получава функциите за сигурност, които една трета от интернет заслужава
  • За първи път Израел отговаря на хакерите от Хамас с въздушен удар
  • Тъмната мрежа е по-малка и може да е по-малко опасна, отколкото си мислимTechRepublic
  • Game of Thrones има най-много зловреден софтуер от всички пиратски телевизионни предаванияCNET