Leakers het publiceren van de broncode van de Iraanse hack gereedschappen
APT34 hacking-tools en slachtoffer gegevens gelekt op een geheimzinnige Telegram kanaal sinds vorige maand.
Twee nieuwe lekken bloot Iraanse cyber-spionage-activiteiten zijn online gepubliceerd via Telegram-kanalen en websites op de Donkere Web en het publieke Internet.
Een lek beweert te bevatten operationele gegevens van de MuddyWater hacken van de groep, terwijl de tweede lek toont informatie over een nieuwe werkgroep in het officiële Iraanse documenten van de overheid als de Rana Instituut –en op dit moment niet gekoppeld aan een bekende Iraanse cyber-spionage-groep.
Een eerste lek gebeurd de afgelopen maand
Deze twee lekkages komen na de vorige maand, een mysterieuze figuur met behulp van het Lab Dookhtegam pseudoniem gedumpt op een Telegram kanaal de broncode van een aantal malware-stammen die geassocieerd zijn met APT34 (Oilrig), een Iraanse regering gesteunde cyber-spionage-groep.
Deze twee nieuwe lekken zijn verschillend van de eerste. Geen van hen heeft de broncode voor malware. In plaats daarvan, ze bevatten afbeeldingen van de broncode van onbekende oorsprong, afbeeldingen van command and control server back-ends, en beelden lijst verleden gehackt slachtoffers.
Meerdere cyber-security bedrijven, zoals de Kroniek, FireEye, en Palo Alto Networks, bevestigde de authenticiteit van deze eerste lek. Beveiligingsonderzoekers van ClearSky Veiligheid en Minerva Labs hebben bevestigd dat deze laatste partij.
Met twee extra lekken raken van de ether, de theorie dat we getuige zijn van een goed georganiseerde campagne om bloot Iran hacken operaties ziet er nu meer geldig dan ooit.
De daders kunnen worden in de hoop dat de politieke gevolgen van het blootstellen van Iran hacks beschadiging van het land de betrekkingen met de buren, buitenlandse politieke bondgenoten, en particuliere bedrijven die nadenken over hun activiteiten en relaties met de Iraanse regering.
MuddyWater lek
Dit was de tweede lek ontstaan in de publieke oog na de Lab Dookhtegam lek die zich hebben voorgedaan op het Telegram in de laatste maand. Een groep die zichzelf de Groene Leakers nam responsabillity.
De groep werkt nog steeds twee Telegram kanalen en twee verschillende Donkere Web portals waar ze de verkoop van de gegevens waarvan zij beweren dat uit de activiteiten van de MuddyWater APT (APT = advanced persistent threat, een naam die gebruikt wordt voor het beschrijven van de overheid gesteunde groepen hackers).
Afbeelding: ZDNet
×
iran-donker-web.png
Afbeelding: ZDNet
×
iran-telegram.png
Omdat deze gegevens werd opgemaakt voor de verkoop, de leakers niet vrij tools gratis, zoals Lab Dookhtegam in het eerste lek. In plaats daarvan worden ze geplaatst:
– beelden die de bron code van een command and control (C&C) server wordt gebruikt door de MuddyWater APT’
– beelden van MuddyWater C&C-server backends –die ook opgenomen unredacted IP-adressen van een aantal van MuddyWater de slachtoffers.
Afbeelding: ZDNet
×
iran-muddywaters-telegram.jpg
Omdat de leakers hebben bleek slechts een kleine steekproef van gegevens in de vorm van screenshots, de jury is nog steeds uit op de authenticiteit van dit lek; het kan echter niet worden verdisconteerd.
Zowel ZDNet en Minerva Laboratoria hebben al een oogje op dit lek voor nieuwe ontwikkelingen, maar naast het hebben van de kanalen Telegram opgeschort en nieuwe te creëren, niets nieuws is gedeeld voor een paar dagen nu.
Rana Instituut lek
Het derde lek waarbij gegevens van de Iraanse cyber-operaties, en ZDNet volgt voor bijna een week, deed zich voor op een website op het openbare Internet geschreven in het perzisch en op een Telegram kanaal.
De leakers gedumpt kleine fragmenten van documenten met het label “geheim” dat leek te zijn ontstaan met de Iraanse Ministerie van inlichtingen en dat de Rana Instituut, een aannemer ingehuurd voor cyber-spionage-operaties.
In tegenstelling tot de vermeende MuddyWater lek, deze is gecontroleerd door security-onderzoekers met ClearSky Veiligheid, een aantal van de meest vooraanstaande experts in de Iraanse hacking-activiteiten.
De gelekte documenten zijn een schatkamer van threat intelligence voor APT onderzoekers, en bloot de activiteiten van een nieuwe groep waarvan de activiteiten zijn nog nooit beschreven of zelfs gespot tot de dag van vandaag, ondanks het feit dat actief sinds 2015.
“Deze documenten bevatten lijsten van slachtoffers, cyber-aanval strategieën, beweerde vlak van toegang, een lijst van medewerkers en screenshots van interne websites die relevant zijn voor spionage-systemen,” ClearSky zei in een rapport publiceerde een paar uur geleden.
“De documenten die licht werpen op enkele aspecten van de activiteit van de groep, met name: het volgen van de Iraniërs, het bijhouden van de Iraanse burgers buiten van Iran, en de leden van de groep.”
Afbeelding: ZDNet
×
iran-duidelijk-web.png
De website waar de meeste van de Rana lek werd gepubliceerd, bevatte de persoonlijke gegevens van de Rana-Instituut leden, samen met een keur aan informatie over het verleden campagnes –waarvan de meeste gericht zijn op het hacken van de luchtvaartmaatschappijen op te halen passagier manifesteert, en het hacken van sites voor het boeken van reizen op te halen reservering en betaling card nummers.
Maar naast airlines en boeken sites, heeft de groep ook een gerichte verzekeringen, IT en telecom bedrijven, maar ook de overheid en afdelingen van over de hele wereld.
Afbeelding: ClearSky Beveiliging
×
iran-rana-doelen.png
Volgens de gelekte documenten, de Rana hackers werden ook gevraagd naar de ontwikkeling van malware, met de meest opvallende project dat werd toegewezen aan hun team die van het ontwikkelen van malware kan beschadigen SCADA industriële controle systemen –vergelijkbaar met Stuxnet of Shamoon.
“Het project is mislukt en niet het bereiken van haar doelstellingen, ondanks een groot budget,” ClearSky onderzoekers gezegd.
Het bereiken van hun doelen
Door het blootstellen van de Rana groep, blijkt dat de leakers –wie ze ook zijn-zijn het bereiken van hun doel van het saboteren van het iraanse cyber-spionage-operaties.
Met hacking-tools in de open en met eerdere campagnes blootgesteld aan de hele wereld, Iran ‘ s hacking groepen opnieuw gereedschap en zich richten op nieuwe campagnes voor de toekomst, mogelijk uitstellen van een huidige of geplande hacken inspanningen –precies wat de leakers kan hebben gewild.
Verwante cybersecurity dekking:
Een hacker is af te vegen Git repositories en vragen om een ransomJapanese overheid te creëren en handhaven van een defensieve malwareChinese hackers werden met behulp van NSA malware een jaar voordat Schaduw Makelaars leakSurge van MegaCortex ransomware aanvallen detectedWordPress krijgt eindelijk de veiligheid voorzien van een derde van het Internet deservesIn een eerste, Israël reageert op Hamas hackers met een air strikeThe donkere web is kleiner en minder gevaarlijk dan we denken TechRepublicSpel der Tronen heeft de meeste malware van illegale TV-show CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters