Billede: ZDNet
×
apt34-telegram.png
I en hændelse, der minder om den Skygge Mæglere lækage, der er udsat NSA ‘ s hacking tools, nogen har nu offentliggjort lignende hacking værktøjer, der tilhører en af Irans elite cyber-spionage enheder, der er kendt som APT34, Oilrig, eller HelixKitten.
Hacking værktøjer er ikke nær så sofistikeret som NSA-værktøjer, der er lækket i 2017, men de er ikke desto mindre farlige.
Offer data også dumpet online
De værktøjer, der er blevet lækket siden midten af Marts på et Telegram kanal af en person, der bruger Lab Dookhtegan pseudonym.
Udover hacking værktøjer, Dookhtegan også offentliggjort, hvad der ser ud til at være data fra nogle af APT34 er hacket ofre, for det meste bestående af brugernavn og adgangskode komboer, der synes at have været indsamlet via phishing-sider.
ZDNet tidligere var opmærksom på nogle af disse værktøjer og offer data efter denne reporter modtaget et tip i midten af Marts. I en Twitter-DM, en Twitter-bruger delt nogle af de samme filer, som blev opdaget i dag på Telegram, og vi mener, at denne Twitter-bruger er det Telegram, Lab Dookhtegan persona.
Billede: ZDNet
×
apt34-twitter.png
I vores Twitter-samtale, leaker hævdede at have arbejdet på koncernens DNSpionage kampagne, men dette skal tages med et gran salt, da leaker kunne meget vel være medlem af en udenlandsk efterretningstjeneste, der forsøger at skjule deres rigtige identitet, samtidig med at det giver mere tiltro til ægtheden af Irans hacking værktøjer og operationer.
Ægtheden bekræftet
Flere cyber-sikkerhed eksperter har allerede bekræftet ægtheden af disse værktøjer. Krønike, Alfabet ‘ s cyber-security division, bekræftet, at dette ZDNet tidligere i dag.
I Telegrammet kanal opdaget i dag, hackere lækkede kildekode seks hacking værktøjer, og de indhold fra flere aktive backend paneler, hvor offeret data er blevet indsamlet.
Hacking værktøjer:
– Glimt (nyere version af en PowerShell-baseret trojan, der Palo Alto Networks navne BondUpdater)
– PoisonFrog (ældre version af BondUpdater)
– HyperShell (web-shell, der Palo Alto Networks opkald TwoFace)
– HighShell (en anden web-shell)
– Fox Panel (phishing-kit)
– Webmask (DNS tunneling, vigtigste værktøj bag DNSpionage)
Udover kildekoden til de ovennævnte værktøjer, Dookhtegan også lækket på Telegram-kanal data taget fra ofre, der var blevet indsamlet i nogle af APT34 backend kommando-og-kontrol (C&C) – servere.
Billede: ZDNet
×
apt34-offer-data.png
I alt er der ifølge Chronicle, Dookhtegan lækkede data fra 66 ofre, især fra lande i Mellemøsten, men også Afrika, Mellemøsten, Asien, og Europa.
Data blev taget fra både offentlige institutioner, men også fra private virksomheder. De to største virksomheder, der er nævnt på Telegram-kanal er Etihad Airways og Emirates Nationale Olie. En liste over de ofre (men uden at det firma/den offentlige agentur navne) er tilgængelig her.
Data, der er lækket fra hvert offer varieret, lige fra brugernavne og adgangskode komboer for at interne netværk, servere info og bruger IPs.
Derudover Dookhtegan også lækket oplysninger om tidligere APT34 operationer, notering af IP-adresser og domæner, hvor gruppen havde hostet web-skaller i fortiden, og andre operationelle data.
Billede: ZDNet
×
apt34-web-skaller.png
Udover data om tidligere operationer, leaker også doxxed Iranske Ministeriet for efterretningsfolk, udstationering telefonnumre, billeder og navne på embedsmænd, der er involveret med APT34 operationer. For nogle officerer, Dookhtegan oprettede PDF-filer, der indeholder deres navne, roller, billeder, telefonnumre, e-mail-adresser, og sociale medier profiler.
Billede: ZDNet
×
apt34-doxx.png
Det var klart fra detaljerede doxing pakker, at leaker havde en knogle til at plukke med den Iranske Ministeriet for efterretningsfolk, som han henviste mange gange som “grusom”, “hensynsløs” og “kriminelle.”
“Vi har flere hemmelige oplysninger om forbrydelser af den Iranske Ministeriet for Intelligens og dets ledere, og vi er fast besluttet på at fortsætte med at udsætte dem,” Dookhtegan sagde i et Telegram besked sendt i sidste uge.
Den leaker også postet screenshots på Telegram-kanal hentyder til at ødelægge kontrolpaneler af APT34 hacking værktøjer og tørre servere ren.
Billede: ZDNet
×
apt34-destroy-server.jpg
Billede: ZDNet
×
apt34-bios-destroy.jpg
Data lækket på dette Telegram kanal er nu under analyse af flere cyber-sikkerhed i virksomheder, ZDNet blev fortalt. Det har også gjort sin måde på andre fildeling sites, som GitHub.
“Det er sandsynligt, at denne gruppe vil ændre deres værktøjssæt for at opretholde den operationelle status,” Brandon Levene, Leder af Anvendt Intelligens på Krønike, fortalte ZDNet i dag i en e-mail, “Der kan være nogle copycat aktivitet afledt af de lækkede værktøjer, men det er usandsynligt at se udbredte anvendelse.”
Dette er fordi de værktøjer er ikke sofistikerede, og de er ikke top-tier værktøjer, som dem, der er lækket i Skyggen Mæglere ” NSA-lækage. Nation-stat eller kriminelle grupper, der vil genbruge disse værktøjer vil sandsynligvis gøre det som et røgslør eller falsk flag, for at skjule deres aktiviteter som APT34.
Mere cybersecurity dækning:
Svindlere bruger gravemaskine til at stjæle Pengeautomater i det Nordlige IrelandMicrosoft offentliggør SECCON ramme for at sikre, at Windows 10EU: Ingen beviser for Kaspersky spionage på trods af ‘bekræftet ondsindet’ classificationRussia bøder Facebook $50 for ikke at overholde de lokale data privatlivets fred lawCyber-vagtselskab Verint ramt af ransomwareMozilla ønsker Apple at ændre brugernes iPhone annoncør-ID hver måned
Opdagede sårbarheder i industrielle udstyr steget 30% i 2018 TechRepublicAmazon arbejdstagere aflytte dine samtaler med Alexa CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre