Спустя почти три года после того, как таинственная группа под названием The Shadow Brokers начала потрошить хакеров АНБ и просачивать свои хакерские инструменты в открытую сеть, иранские хакеры получают свой собственный вкус этого нервирующего опыта. В течение последнего месяца, таинственный человек или группа была нацелена на топ иранской хакерской команды, сбрасывая свои секретные данные, инструменты и даже идентичности на публичный канал Telegram—и утечка не показывает никаких признаков остановки.
С 25 марта телеграфный канал под названием Read My Lips или Lab Dookhtegan—что переводится с фарси как "зашитые губы"—систематически раскрывает секреты хакерской группы, известной как APT34 или OilRig, которая, как давно полагают исследователи, работает на службе иранского правительства.До сих пор "утечка" или "утечки" опубликовали коллекцию инструментов хакеров, доказательства их точек вторжения для 66 организаций-жертв по всему миру, IP-адреса серверов, используемых иранской разведкой, и даже личности и фотографии предполагаемых хакеров, работающих с группой OilRig.
"Мы разоблачаем здесь кибер-инструменты (APT34 / OILRIG), которые безжалостное Министерство разведки Ирана использовало против соседних с Ираном стран, включая имена жестоких менеджеров и информацию о деятельности и целях этих кибератак", - говорится в первоначальном сообщении, опубликованном в Telegram хакерами в конце марта. "Мы надеемся, что другие иранские граждане будут действовать за разоблачение настоящего уродливого лица этого режима!
Точная природа протекающей операции и человек или люди, стоящие за ней, что угодно, но не ясно. Но утечка, похоже, предназначена для того, чтобы смутить иранских хакеров, разоблачить их инструменты—заставляя их создавать новые, чтобы избежать обнаружения—и даже поставить под угрозу безопасность и безопасность отдельных членов APT34/OilRig."Похоже, что либо недовольный инсайдер сливает инструменты от операторов APT34, либо это теневые брокеры–своего рода организация, заинтересованная в срыве операций для этой конкретной группы", - говорит Брендон Левен, руководитель прикладной разведки в охранной фирме Chronicle, которая анализирует утечку. - Похоже, у них есть что-то для этих парней. Они называют и стыдятся, а не просто бросают инструменты.
По состоянию на утро четверга, Read My Lips leakers продолжали публиковать имена, фотографии и даже контактные данные предполагаемых членов OilRig в Telegram, хотя WIRED не мог подтвердить, что кто-либо из идентифицированных мужчин был действительно связан с иранской хакерской группой. "Отныне мы будем каждые несколько дней раскрывать личную информацию одного из проклятых сотрудников и секретную информацию от порочного Министерства разведки, чтобы уничтожить это предательское министерство", - говорится в сообщении, опубликованном в четверг.
Аналитики Chronicle подтверждают, что, по крайней мере, выпущенные хакерские инструменты на самом деле являются хакерскими инструментами OilRig, как утверждали утечки. К ним относятся, например, программы Hypershell и TwoFace, призванные дать хакерам точку опоры на взломанных веб-серверах. Другая пара инструментов под названием PoisonFrog и Glimpse, по-видимому, являются различными версиями Трояна удаленного доступа под названием BondUpdater, который исследователи в Palo Alto Networks наблюдали за использованием OilRig с августа прошлого года .
Помимо утечки этих инструментов, Read My Lips leaker также утверждает, что удалил содержимое иранских серверов разведки и опубликовал скриншоты сообщения, которое он оставил, как показано ниже.
Когда теневые брокеры разлили свою коллекцию секретных инструментов взлома АНБ в течение 2016 и 2017 годов, результаты были катастрофическими: просочившиеся инструменты взлома АНБ EternalBlue и EternalRomance например, были использованы в некоторых из самых разрушительных и дорогостоящих кибератак в истории, включая червей WannaCry и NotPetya. But Chronicle's Levene says that the dumped OilRig tools are not nearly as unique or dangerous, and the leaked versions of the webshell tools in particular are missing elements that would allow them to be easily repurposed. - На самом деле это не порез и не паста, - говорит Левен. "Перевооружение этих инструментов вряд ли произойдет.
Другой инструмент, включенный в утечку, описан как " вредоносное ПО DNSpionage "и описан как" код, используемый для [man-in-the-middle] для извлечения данных аутентификации "и" код для управления захватом DNS."Название и описание DNSpionage соответствуют операции, которую охранные фирмы раскрыли в конце прошлого года и с тех пор приписывают Ирану. Операция была нацелена на десятки организаций по всему Ближнему Востоку, изменив их реестры DNS, чтобы перенаправить весь входящий интернет-трафик на другой сервер, где хакеры могли молча перехватить его и украсть любые имена пользователей и пароли, которые он включал.
Тем не менее, два инструмента для взлома DNS, похоже, имеют схожую функциональность, и две хакерские кампании, по крайней мере, разделили некоторые жертвы.Утечка Read My Lips включает в себя детали серверных компромиссов, которые OilRig установил в широком спектре ближневосточных сетей, от аэропортов Абу-Даби до Etihad Airways до Агентства национальной безопасности Бахрейна, до компании солидарности Saudi Takaful, страховой компании Саудовской Аравии. Согласно анализу, проведенному Chronicle по утечке данных о жертвах, цели OilRig столь же разнообразны, как южнокорейская игровая компания и мексиканское правительственное агентство. Но большинство из десятков жертв хакеров сосредоточены на Ближнем Востоке, а некоторые также пострадали от DNSpionage, говорит Левен."Мы не видим никакой связи с DNSpionage, но есть жертвы перекрытия", - говорит он. "Если они не одинаковы, то, по крайней мере, их интересы взаимны.
Для OilRig продолжающаяся утечка представляет собой неловкое препятствие и нарушение операционной безопасности. Но для сообщества исследователей безопасности он также предлагает редкий взгляд на внутренности спонсируемой государством хакерской группы, говорит Левен. "Мы не часто получаем взгляд на спонсируемые государством группы и как они работают", - говорит он. "Это дает нам некоторое представление о масштабах и масштабах возможностей этой группы.
Несмотря на то, что The Read My Lips leaker раскрывает секреты иранцев, источник этих утечек остается загадкой. И судя по заявлениям Telegram, это только начало. "У нас больше секретной информации о преступлениях иранского министерства разведки и его руководителей", - говорится в сообщении группы, опубликованном на прошлой неделе. "Мы полны решимости продолжать их разоблачать. Следуйте за нами и делитесь!
