Afbeelding: ZDNet
×
apt34-telegram.png
Bij een incident doet denken aan dat van de Schaduw Makelaars lekken die blootgesteld de NSA ‘ s hacking-tools, iemand heeft nu gepubliceerd soortgelijke hacking-tools die behoren tot één van de iraanse elite cyber-spionage-eenheden, bekend als APT34, Oilrig, of HelixKitten.
De hacking-tools zijn nergens in de buurt zo verfijnd als de NSA tools gelekt in 2017, maar ze gevaarlijk zijn, maar toch.
Slachtoffer gegevens ook gedumpt online
De tools zijn gelekt sinds medio Maart op een Telegram kanaal door een persoon met behulp van de Lab Dookhtegan pseudoniem.
Naast hacking-tools, Dookhtegan ook gepubliceerd wat lijkt te zijn van gegevens van sommige van APT34 is gehackt slachtoffers, meestal bestaande uit een gebruikersnaam en wachtwoord combo ‘s die lijken te zijn verzameld door middel van phishing-pagina’ s.
Deze laatste werd eerder op de hoogte was van sommige van deze tools en slachtoffer data na deze verslaggever kreeg een tip medio Maart. In een Twitter DM, een Twitter-gebruiker gedeelde sommige van de bestanden die werden ontdekt vandaag aan-Telegram, en wij geloven dat deze Twitter-gebruiker is het Telegram Lab Dookhtegan persona.
Afbeelding: ZDNet
×
apt34-twitter.png
In onze Twitter-conversatie, de leaker beweerde te hebben gewerkt op de groep DNSpionage campagne, maar deze moeten worden genomen met een korrel zout nemen, als de leaker kan zeer goed een lid van een buitenlandse inlichtingendienst probeert te verbergen van hun ware identiteit, terwijl het geven van meer geloof hechten aan de authenticiteit van Iran ‘ s hacking-tools en-activiteiten.
Authenticiteit bevestigd
Verschillende cyber-security-experts bevestigden de authenticiteit van deze tools. Kroniek, Alfabet-cyber-security-divisie, bevestigde dit aan ZDNet eerder vandaag.
In het Telegram kanaal ontdekt, vandaag de dag, de hacker gelekt van de bron code van zes hacking-tools, en de inhoud van de verschillende actieve backend panelen, waar het slachtoffer data is verzameld.
Hacking-tools:
– Blik (nieuwere versie van een PowerShell-gebaseerd trojan dat Palo Alto Networks namen BondUpdater)
– PoisonFrog (oudere versie van BondUpdater)
– HyperShell (web shell dat Palo Alto Networks oproepen TwoFace)
– HighShell (andere web shell)
– Fox-Paneel (phishing-kit)
– Webmask (DNS-tunneling, de belangrijkste tool achter DNSpionage)
Naast de bron code voor de bovenstaande gereedschappen, Dookhtegan ook gelekt op het Telegram kanaal de gegevens zijn afkomstig van slachtoffers die verzameld was in sommige van APT34 de backend command-and-control (C&C) – servers.
Afbeelding: ZDNet
×
apt34-slachtoffer-gegevens.png
In totaal, volgens de Kroniek, Dookhtegan gelekte gegevens van 66 slachtoffers, voornamelijk uit landen in het Midden-Oosten, maar ook in Afrika, Oost-Azië, en Europa.
Gegevens afkomstig van zowel overheid, maar ook van private bedrijven. De twee grootste bedrijven met de naam op het Telegram kanaal zijn Etihad Airways en Emirates National Oil. Een lijst van de slachtoffers (maar zonder bedrijf/overheid-agentschap namen) is hier beschikbaar.
Gegevens gelekt van elk slachtoffer gevarieerd, gaande van gebruikersnamen en wachtwoord combo ‘ s en het interne netwerk servers info en gebruiker IPs.
Bovendien Dookhtegan ook gelekte gegevens over het verleden van APT34 bewerkingen, overzicht van de IP-adressen en domeinen waar de groep had hosted web schelpen in het verleden, en andere operationele gegevens.
Afbeelding: ZDNet
×
apt34-web-schelpen.png
Naast gegevens over de voorbije activiteiten, de leaker ook doxxed Iraanse Ministerie van inlichtingen-officieren, het plaatsen van telefoonnummers, afbeeldingen en namen van functionarissen die betrokken zijn met APT34 activiteiten. Voor sommige officieren, Dookhtegan gemaakte PDF-bestanden met hun namen, functies, afbeeldingen, telefoonnummers, e-mailadressen en sociale media profielen.
Afbeelding: ZDNet
×
apt34-doxx.png
Het was duidelijk uit de gedetailleerde doxing pakketten die de leaker een appeltje te schillen had met de Iraanse Ministerie van inlichtingen-officieren, die hij bedoelde vaak als “wreed,” “meedogenloze” en “crimineel.”
“We hebben meer geheime informatie over de misdaden van het Iraanse Ministerie van inlichtingen en haar beheerders en we zijn vastbesloten om door te gaan om ze bloot te stellen,” Dookhtegan zei in een Telegram bericht vorige week geplaatst.
De leaker ook geplaatst screenshots op het Telegram kanaal verwijzend naar het vernietigen van de control panels van APT34 hacking-tools en vegen servers schoon.
Afbeelding: ZDNet
×
apt34-destroy-server.jpg
Afbeelding: ZDNet
×
apt34-bios-destroy.jpg
De gegevens gelekt op dit Telegram kanaal is nu onder de analyse door verschillende cyber-security bedrijven, ZDNet werd verteld. Het heeft ook zijn weg op een andere file sharing sites, zoals GitHub.
“Het is waarschijnlijk dat deze groep verandert hun toolset om het handhaven van de operationele status,” Brandon Levene, Hoofd van de Toegepaste Intelligentie aan de Kroniek, vertelde ZDNet vandaag in een e-mail “Er kunnen afgeleide activiteit is afgeleid van de gelekte tools, maar het is onwaarschijnlijk om te zien wijdverbreide gebruik.”
Dit is omdat de instrumenten niet verfijnd en niet top-tier tools zoals die gelekt in de Schaduw van de makelaar NSA lek. Natie-staat of criminele groepen die hergebruik van deze hulpmiddelen zal waarschijnlijk doe het als een rook-scherm of valse vlag, een masker over hun transacties als APT34.
Meer cybersecurity dekking:
Oplichters gebruiken digger te stelen Geldautomaten in Noord-IrelandMicrosoft publiceert SECCON kader voor het beveiligen van Windows 10EU: er is Geen bewijs van Kaspersky spionage ondanks ‘bevestigd kwaadaardige’ classificationRussia boetes Facebook € 50, – voor het niet naleven van lokale data privacy lawCyber-beveiligingsbedrijf Verint getroffen door ransomwareMozilla wil Apple gebruikers wijzigen iPhone adverteerder ID elke maand
Kwetsbaarheden ontdekt in industriële installaties steeg van 30% in 2018 TechRepublicAmazon werknemers af te luisteren op uw gesprekken met Alexa CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters