Следующая новость
Предыдущая новость

Утекли исходные коды инструментов иранской кибершпионской группы APT34

18.04.2019 14:02
Утекли исходные коды инструментов иранской кибершпионской группы APT34

Рекомендуем почитать:

Xakep #240. Ghidra

  • Содержание выпуска
  • Подписка на «Хакер»

В середине марта 2019 года некто Lab Dookhtegan обнародовал в Telegram инструменты иранской APT34 (она же Oilrig и HelixKitten), а также информацию о жертвах хакеров и сотрудниках Министерства информации и национальной безопасности Ирана, которые якобы связаны с операциями группировки.

Журналисты издания ZDNet, которым удалось пообщаться с Lab Dookhtegan, пишут, что, по его словам, он принимал участие в кампании DNSpionage и был членом APT34. Однако никаких доказательств этому нет, и Lab Dookhtegan вполне может оказаться сотрудником совсем не иранских спецслужб.

В Telegram были опубликованы исходные коды шести следующих инструментов APT34:

  • Glimpse (новая версия PowerShell трояна, который эксперты Palo Alto Networks называют BondUpdater);
  • PoisonFrog (старая версия BondUpdater);
  • HyperShell (web shell, известный Palo Alto Networks как TwoFace);
  • HighShell (еще один web shell);
  • Fox Panel (фишинговый набор);
  • Webmask (основной инструмент, использованный в компании DNSpionage).

Утекли исходные коды инструментов иранской кибершпионской группы APT34

По данным ZDNet, в настоящее время анализом этих решений занимаются многие ИБ-компании. Подлинность исходных кодов изданию уже подтвердили специалисты Chronicle, подразделения кибербезопасности холдинга Alphabet.

Помимо исходных кодов Lab Dookhtegan также обнародовал в открытом доступе данные о 66 жертвах APT34, обнаруженные на управляющих серверах группировки. Среди опубликованной информации, в числе прочего, были учетные данные от внутренних серверов и IP-адреса пользователей. В основном в этот список пошли компании и организации из стран Ближнего Востока, Африки, Восточной Азии и Европы. Два наиболее крупных имени среди пострадавших – это компании Etihad Airways и Emirates National Oil. Список всех жертв можно увидеть здесь.

Утекли исходные коды инструментов иранской кибершпионской группы APT34

Также Lab Dookhtegan «слил» и данные о прошлых операциях группы, включая списки IP-адресов и доменов, где группировка ранее хостила web sell’ы и другие оперативные данные.

Утекли исходные коды инструментов иранской кибершпионской группы APT34

Кроме того, анонимный изобличитель потратил немало времени на доксинг сотрудников Министерства информации и национальной безопасности Ирана, которые якобы принимали участие в операциях APT34. Для некоторых офицеров Lab Dookhtegan создал специальные PDF-файлы с «досье», где раскрыл их имена, должности, приложил фотографии, номера телефонов, email-адреса и ссылки на профили в социальных медиа. Журналисты отмечают, что негативное отношение Lab Dookhtegan к этим людям сложно не заметить, ведь в своих постах и «досье» он называет их не иначе, как «беспощадными преступниками».

Помимо вышеперечисленного, в Telegram были опубликованы скриншоты, демонстрирующие уничтожение контрольных панелей APT34 и полную очистку серверов группы, что якобы было делом рук самого Lab Dookhtegan.

Утекли исходные коды инструментов иранской кибершпионской группы APT34
Утекли исходные коды инструментов иранской кибершпионской группы APT34

Аналитики Chronicle полагают, что теперь APT34 придется серьезно изменить свой инструментарий, и пройдет какое-то время, прежде чем группа сможет полностью вернуться в состояние боевой готовности. Также можно предположить, что у APT34 теперь появятся подражатели и имитаторы, хотя широкого использования утекших инструментов, по словам аналитиков, ждать не приходится. Дело в том, что решения группировки далеко не такие сложные и комплексные, как, например, инструментарий спецслужб, похищенный хак-группой Shadow Brokers.

Фото: ZDNet

Источник

Последние новости