Одна из самых известных хакерских группировок Ирана фактически прекратила свое существование весной 2019 года. Теперь выясняются удивительные подробности, это была то ли инсайдерская работа, то ли контратака со стороны соперничающей группировки — причем на редкость хорошо задокументированная, показательная и унизительная.
Итак, в середине марта 2019 года некто Lab Dookhtegan обнародовал в Telegram инструменты иранской APT34 (она же Oilrig и HelixKitten), а также информацию о жертвах хакеров и сотрудниках Министерства информации и национальной безопасности Ирана, которые якобы связаны с операциями группировки.
Журналисты издания ZDNet пообщались с Lab Dookhtegan и пишут, что, по его словам, он принимал участие в кампании DNSpionage и был членом APT34 (доказательств этому нет, равно как и объяснений того, почему он переметнулся, так что заявление Lab Dookhtegan вполне может оказаться отвлекающим маневром, а сам он — сотрудником совсем не иранских спецслужб).
В Telegram были опубликованы исходные коды шести следующих инструментов APT34:
Glimpse (новая версия PowerShell трояна, который эксперты Palo Alto Networks называют BondUpdater);
PoisonFrog (старая версия BondUpdater);
HyperShell (web shell, известный Palo Alto Networks как TwoFace);
HighShell (еще один web shell);
Fox Panel (фишинговый набор);
Webmask (основной инструмент, использованный в компании DNSpionage).
Помимо исходных кодов Lab Dookhtegan также обнародовал в открытом доступе данные о 66 жертвах APT34, обнаруженные на управляющих серверах группировки. Среди опубликованной информации, в числе прочего, были учетные данные от внутренних серверов и IP-адреса пользователей. В основном в этот список пошли компании и организации из стран Ближнего Востока, Африки, Восточной Азии и Европы. Два наиболее крупных имени среди пострадавших – это компании Etihad Airways и Emirates National Oil. Также Lab Dookhtegan «слил» и данные о прошлых операциях группы, включая списки IP-адресов и доменов, где группировка ранее хостила web sell’ы и другие оперативные данные.
Анонимный изобличитель потратил немало времени на доксинг сотрудников Министерства информации и национальной безопасности Ирана, которые якобы принимали участие в операциях APT34. Для некоторых офицеров Lab Dookhtegan даже создал специальные PDF-файлы с «досье», где раскрыл их имена, должности, приложил фотографии, номера телефонов, email-адреса и ссылки на профили в социальных медиа. Журналисты отмечают, что негативное отношение Lab Dookhtegan к этим людям сложно не заметить, ведь в своих постах и «досье» он называет их не иначе, как «беспощадными преступниками» (возможно ли такое со стороны бывшего участника группы?).
Помимо вышеперечисленного, в Telegram были опубликованы скриншоты, демонстрирующие уничтожение контрольных панелей APT34 и полную очистку серверов группы.
Как АКБ писало ранее , за период с 2015 до середины 2017 года группа хакеров Ирана, которую специалисты назвали Advanced Persistent Treat (APT-34) совершили 34 кибератаки. Все они, по данным исследователей из компании по цифровой безопасности FireEye, пришлись на семь стран Ближнего Востока.
В основном преступники атаковали компании и госучреждения, относящиеся к финансовому, энергетическому и телекоммуникационному сектору. Все нападения производились с иранских IP-адресов, подчеркивают в FireEye. Ранее эти же эксперты констатировали наличие группы также иранских хакеров. Она получила название АРТ-33 и занималась распространением вредоносного ПО.
АРТ-34 внедрялась на компьютеры интересующей ее компании через электронную почту, а затем проникает в сеть организации и перемещается по ней с помощью вредоносных макросов Excel и эксплойтов на основе PowerShell.
Читайте также предыдущую часть сериала: Игра киберпрестолов XVIII: и снова Иран против Англии
…и другие материалы про сложные взаимоотношения иранских хакеров со всем остальным миром:
…Иранские хакеры, как стало понятно за последнее время по их противостоянию с США, одни из сильнейших в мире. Теперь выясняется, что группировка IRIDIUM из страны Шаха ответственна за кибератаки на британский и австралийский парламенты .
Как выяснили эксперты по кибербезопасности, иранская киберпреступная группировка, в начале февраля похитившая персональные данные австралийских депутатов, также ответственна за резонансную кибератаку на парламент Великобритании в 2017 году.
…Между США и Ираном, разыгрывающих замысловатый танец с киберсаблями, продолжаются интересные инциденты. Так, бывшей разведчице, 39-летней Монике Уитт предъявили сейчас обвинения в содействии организации кампании по кибершпионажу, направленной на бывших коллег, а также в передаче Ирану секретных сведений .
…В конце ноября Минюст США предъявил официальные обвинения двум хакерам из Ирана, создавших крайне успешный вирус-шифровальщик SamSam . Фарамарз Шахи Саванди и Мохаммад Мехди Шах Мансури успешно парализовали работу целых городов, что, по мнению прокурора, является беспрецедентным ранее «посягательством» на сам американский образ жизни.
Всего, по данным обвинения, Саванди и Мансури провели кибератаки в 43 штатах Америки, но при этом не разглашает, сколько человек пострадало в результате. Жертвами вредоноса стали порядка 200 организаций, включая больницы, городские администрации и государственные учреждения, а ущерб от него превышает $30 млн.
