Утекли исходные коды инструментов иранской кибершпионской группы APT34

Рекомендуем почитать:

Xakep #240. Ghidra

• Содержание выпуска
• Подписка на «Хакер»

В середине марта 2019 года некто Lab Dookhtegan обнародовал в Telegram инструменты иранской APT34 (она же Oilrig и HelixKitten), а также информацию о жертвах хакеров и сотрудниках Министерства информации и национальной безопасности Ирана, которые якобы связаны с операциями группировки.

Журналисты издания ZDNet, которым удалось пообщаться с Lab Dookhtegan, пишут, что, по его словам, он принимал участие в кампании DNSpionage и был членом APT34. Однако никаких доказательств этому нет, и Lab Dookhtegan вполне может оказаться сотрудником совсем не иранских спецслужб.

В Telegram были опубликованы исходные коды шести следующих инструментов APT34:

• Glimpse (новая версия PowerShell трояна, который эксперты Palo Alto Networks называют BondUpdater);
• PoisonFrog (старая версия BondUpdater);
• HyperShell (web shell, известный Palo Alto Networks как TwoFace);
• HighShell (еще один web shell);
• Fox Panel (фишинговый набор);
• Webmask (основной инструмент, использованный в компании DNSpionage).

По данным ZDNet, в настоящее время анализом этих решений занимаются многие ИБ-компании. Подлинность исходных кодов изданию уже подтвердили специалисты Chronicle, подразделения кибербезопасности холдинга Alphabet.

Помимо исходных кодов Lab Dookhtegan также обнародовал в открытом доступе данные о 66 жертвах APT34, обнаруженные на управляющих серверах группировки. Среди опубликованной информации, в числе прочего, были учетные данные от внутренних серверов и IP-адреса пользователей. В основном в этот список пошли компании и организации из стран Ближнего Востока, Африки, Восточной Азии и Европы. Два наиболее крупных имени среди пострадавших – это компании Etihad Airways и Emirates National Oil. Список всех жертв можно увидеть здесь.

Также Lab Dookhtegan «слил» и данные о прошлых операциях группы, включая списки IP-адресов и доменов, где группировка ранее хостила web sell’ы и другие оперативные данные.

Кроме того, анонимный изобличитель потратил немало времени на доксинг сотрудников Министерства информации и национальной безопасности Ирана, которые якобы принимали участие в операциях APT34. Для некоторых офицеров Lab Dookhtegan создал специальные PDF-файлы с «досье», где раскрыл их имена, должности, приложил фотографии, номера телефонов, email-адреса и ссылки на профили в социальных медиа. Журналисты отмечают, что негативное отношение Lab Dookhtegan к этим людям сложно не заметить, ведь в своих постах и «досье» он называет их не иначе, как «беспощадными преступниками».

Помимо вышеперечисленного, в Telegram были опубликованы скриншоты, демонстрирующие уничтожение контрольных панелей APT34 и полную очистку серверов группы, что якобы было делом рук самого Lab Dookhtegan.

Аналитики Chronicle полагают, что теперь APT34 придется серьезно изменить свой инструментарий, и пройдет какое-то время, прежде чем группа сможет полностью вернуться в состояние боевой готовности. Также можно предположить, что у APT34 теперь появятся подражатели и имитаторы, хотя широкого использования утекших инструментов, по словам аналитиков, ждать не приходится. Дело в том, что решения группировки далеко не такие сложные и комплексные, как, например, инструментарий спецслужб, похищенный хак-группой Shadow Brokers.

Фото: ZDNet

Источник