Bild: ZDNet
×
apt34-telegram.png
En händelse som påminner om den Skugga Mäklare läcka som utsätts för NSA: s hacking tools, någon har nu publicerat liknande hacking verktyg som hör till en av Irans elite cyber-spionage enheter, känd som APT34, Oljerigg, eller HelixKitten.
Hacking verktyg är långt ifrån så avancerat som NSA verktyg läckt ut 2017, men de är farliga ändå.
Offret data också dumpad online
De verktyg som har läckt ut sedan mitten av Mars på ett Telegram kanal genom att en individ som använder Lab Dookhtegan pseudonym.
Förutom hackerverktyg, Dookhtegan publicerade även vad som verkar vara data från några av APT34 har hackat offer, främst bestående av användarnamn och lösenord kombinationer som verkar ha samlats in genom phishing-sidor.
ZDNet tidigare var medveten om att vissa av dessa verktyg och offer data efter denna reporter fick ett tips i mitten av Mars. I ett Twitter-DM, en Twitter-användare delat en del av samma filer som upptäcktes idag på Telegram, och vi anser att denna Twitter-användare är den Telegram Lab Dookhtegan persona.
Bild: ZDNet
×
apt34-twitter.png
I vår Twitter-konversation, leaker påstod sig ha arbetat på koncernens DNSpionage kampanj, men detta bör tas med en nypa salt, som leaker kan mycket väl vara en medlem av en utländsk underrättelsetjänst att försöka dölja sin verkliga identitet, samtidigt som det ger mer trovärdighet till äktheten av Irans hacking verktyg och verksamhet.
Äktheten bekräftade
Flera it-säkerhetsexperter har redan bekräftat äktheten av dessa verktyg. Krönika, Alfabetet cyber-security division, bekräftat att detta ZDNet tidigare idag.
I Telegram kanal upptäckte idag, hacker läckt ut källkoden av sex hackerverktyg, och innehållet från flera aktiva backend paneler, där offret data hade samlats in.
Hacking verktyg:
– Glimt (nyare version av ett PowerShell-trojan som Palo Alto Networks namn BondUpdater)
– PoisonFrog (äldre version av BondUpdater)
– HyperShell (webb-skal som Palo Alto Networks samtal TwoFace)
– HighShell (en annan webbsida skal)
– Fox Panel (phishing-kit)
– Webmask (DNS-tunnel, viktigaste verktyget bakom DNSpionage)
Förutom källkoden för ovanstående verktyg, Dookhtegan också läckt ut på Telegram kanal data tas från offer som hade samlats in i något av APT34 är backend command-and-control (C&C) servrar.
Bild: ZDNet
×
apt34-offer-data.png
Totalt, enligt Krönikan, Dookhtegan läckt uppgifter från 66 offer, främst från länder i Mellanöstern, men även i Afrika, Sydostasien och Europa.
Data togs från både myndigheter, men också från privata företag. De två största företag som heter på Telegram kanal är Etihad Airways och Emirates National Oil. En lista över offren (men utan företag/myndighet namn) finns här.
Uppgifter som läckt ut från varje offer varierande, allt från användarnamn och lösenord kombinationer för att interna servrar info och användarnas ip-adresser.
Dessutom, Dookhtegan också läckt ut uppgifter om tidigare APT34 verksamhet, som anger de IP-adresser och domäner, där koncernen hade värd web skal i det förflutna, och andra operativa uppgifter.
Bild: ZDNet
×
apt34-web-skal.png
Förutom uppgifter om tidigare verksamhet, leaker också doxxed Iranska Ministeriet för Underrättelsetjänsten, publicera telefonnummer, bilder, och namnen på de tjänstemän som deltar med APT34 verksamhet. För några officerare, Dookhtegan skapade PDF-filer som innehåller deras namn, roller, bilder, telefonnummer, e-postadresser, och sociala medier profiler.
Bild: ZDNet
×
apt34-doxx.png
Det var tydligt detaljerad doxing paket som leaker hade ett ben att plocka med den Iranska Ministeriet för Underrättelsetjänsten, som han hänvisade till många gånger som “grym” och “hänsynslös” och “kriminell”.
“Vi har mer hemlig information om brott av Irans Ministerium för underrättelse-och dess chefer och vi är fast beslutna att fortsätta att utsätta dem,” Dookhtegan sade i ett Telegram meddelande publicerat i förra veckan.
Den leaker också publicerat skärmdumpar på Telegram kanal som syftar till att förstöra kontrollpaneler APT34 hacking verktyg och torka servrar ren.
Bild: ZDNet
×
apt34-destroy-server.jpg
Bild: ZDNet
×
apt34-bios-destroy.jpg
De uppgifter som läckt ut på detta Telegram kanal är nu under analys av flera cyber-bevakningsföretag, ZDNet blev tillsagd. Det har också gjort sin väg på andra webbplatser fildelning, exempelvis GitHub.
“Det är troligt att denna grupp kommer att förändra deras verktyg för att upprätthålla den operativa status,” Brandon Levene, Chef för Tillämpad Intelligens vid Krönika, berättade ZDNet idag i ett mail: “Det kan vara lite copycat aktivitet som härrör från den läckte verktyg, men det är osannolikt att se utbredd användning.”
Detta beror på verktyg som inte är sofistikerad och inte top-tier verktyg som de hamnat i Skuggan Mäklare ” NSA läcka. Nationalstaten eller kriminella grupper som kommer att använda dessa verktyg kommer sannolikt att göra det som en rökridå eller falsk flagg, för att dölja sin verksamhet som APT34.
Mer cybersäkerhet täckning:
Skurkarna använder digger att stjäla Uttagsautomater i Norra IrelandMicrosoft publicerar SECCON ram för att säkra Windows 10EU Inga bevis för Kaspersky spioneri trots de “bekräftas skadlig’ classificationRussia böter Facebook $50 för den som underlåter att följa med lokala data integritet lawCyber-säkerhetsföretaget Verint drabbats av ransomwareMozilla vill Apple att ändra användarnas iPhone annonsör-ID varje månad
Sårbarheter som upptäckts i industriell utrustning ökade med 30% 2018 TechRepublicAmazon arbetstagare avlyssna dina samtal med Alexa CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter