İran'ın siber casusluk faaliyetleri açığa çıktı, saldırı planı engellenebilir
Bu teşhirde yeni piyasaya sürülen bilgisayar korsanlığı araçlarının bulunmadığı bildirildi, ancak sızan kişi daha önce bilinmeyen bir İran APT organizasyonunu ortaya çıkardı.
Kısa süre önce bir ihbarcı, İran'ın siber casusluk faaliyetleriyle ilgili iki sızıntıyı ortaya çıkardı: Bu ifşaatlar Telegram kanalı, karanlık web ve halka açık İnternet'teki web siteleri aracılığıyla yayınlandı.
Sızıntılardan biri MuddyWater hacker örgütünün işletme verileriyle ilgiliydi ve ikinci sızıntı, resmi İran hükümeti belgelerinde "Rana Enstitüsü" olarak adlandırılan bilinmeyen yeni bir tehdit örgütü hakkında bilgi ortaya çıkardı. İranın çeşitli tehdit grupları birbiriyle alakasız.
Geçen ayki APT 34 sızıntısı
İki sızıntıdan önce, geçen ay "Lab Dookhtegam" kod adını kullanan gizemli bir kişi, Telegram kanalında İran hükümeti destekli siber casusluk kuruluşu APT 34 (Oilrig) ile ilgili çeşitli kötü amaçlı yazılımların kaynak kodunu ifşa etti. .
Bu sefer ortaya çıkan iki sızıntı, geçen ayki sızıntılardan farklı. Bu teşhirde yeni yayımlanan herhangi bir bilgisayar korsanlığı aracı bulunmadı ve herhangi bir kötü amaçlı yazılım kaynak kodu içermedi. Bunun yerine, bu sefer bilinmeyen kaynak kodlarını, komut ve kontrol sunucusu arka uçlarını ve geçmişte hacker saldırılarından etkilenen kurbanların bir listesini açığa çıkardı.
Chronicle, FireEye ve Palo Alto Networks gibi birkaç siber güvenlik şirketinin tümü, ilk sızıntıda malzemenin gerçekliğini doğruladı. ClearSky Security ve Minerva Labs'tan güvenlik araştırmacıları, ikinci sızıntıda malzemenin gerçekliğini doğruladı.
Araştırmacılar, İran hacker örgütünün sırlarını ifşa etmenin ciddi siyasi sonuçlar doğurabileceğini ve ülkenin komşuları, yabancı siyasi müttefikleri ve özel şirketlerle ilişkilerine zarar verebileceğini düşünüyor.
Çamurlu su sızıntısı
Bu, geçen ay Telegram'daki Lab Dookhtegam olayından sonraki bir başka sızıntı. Bu sefer ihbarcı, kendisine "Yeşil Sızıntılar" adını veren bir organizasyon.
Organizasyon hala iki Telegram kanalı ve MuddyWater organizasyonundan gelen operasyonel verileri sattıkları iki farklı karanlık web portalı işletiyor.
Lab Dookhtegam'ın hackleme aracı kaynak kodunun ilk sızıntısının aksine, yeşil sızıntının bu sefer yayınladığı şey:
- MuddyWater organizasyonu tarafından kullanılan komuta ve kontrol (C&C) sunucusunun kaynak kodunu görüntüleyin;
- MuddyWater'ın bazı MuddyWater kurbanlarının düzenlenmemiş IP adreslerini de içeren C&C sunucu arka ucu.
Sızıntı yapan kişi, verilerin yalnızca küçük bir bölümünü ekran görüntüleri şeklinde ortaya çıkardığı için, araştırmacılar sızdırılan bilgilerin gerçekliğini geçici olarak belirleyemiyorlar. ZDNet ve Minerva Labs, bu güvenlik açığının geliştirilmesine büyük önem veriyor, ancak Telegram kanalındaki bilgiler dışında yeni bir ilgili içerik ortaya çıkmadı.
Rana Institute sızıntısı
Başka bir sızıntı da İran'ın ağ operasyon verilerini içeriyordu.ZDNet yaklaşık bir haftadır takip ediyor Sızan içerik Farsça yazılmış Telegram kanalında ve halka açık internette yayınlandı.
Sızdıran kişi, "gizli" olarak işaretlenmiş belgelerden küçük bir pasaj yayınladı.Bu belgelerin, siber casusluk örgütü Rana Enstitüsü'nün işe alınmasını anlatan İran istihbarat servisinden geldiği anlaşılıyor.
MuddyWater sızıntısının aksine, ClearSky Securitynin güvenlik araştırmacıları sızıntıyı doğruladı. Sızan belgeler, APT araştırmacıları için yeni bir tehdit organizasyonunun faaliyetlerini ortaya çıkaran bir tehdit istihbaratı hazinesidir. 2015 yılından beri aktif olmasına rağmen, örgütün faaliyetleri hiçbir zaman keşfedilmedi.
ClearSky, birkaç saat önce yayınlanan bir raporda, "Bu dosyalar kurbanların listelerini, siber saldırı stratejilerini, şüpheli erişim alanlarını, organizasyon üyelerinin listelerini ve casus sistemiyle ilgili dahili web sitelerinin ekran görüntülerini içeriyor." Faaliyetin belirli yönleri, özellikle: İran vatandaşlarını ve İran dışındaki İran vatandaşlarını izleme. "
Çoğu, yolcu bildirimlerini almak için havayollarını hacklemeye ve rezervasyon ve ödeme kartı numaralarını almak için seyahat rezervasyon web sitelerini hacklemeye odaklanır.
Rana sızıntılarının çoğu, Rana Institute üyelerinin kişisel bilgilerinin yanı sıra, çoğu yolcu listelerini, bilgisayar korsanlarını almak için havayollarını hacklemeye odaklanan geçmiş saldırılar hakkında bir dizi bilgi içeren web sitesinde yayınlanmaktadır. Rezervasyon bilgilerini ve ödeme kartı numaralarını almak için seyahat rezervasyonu web sitesine saldırın. Ancak organizasyon, havayolları ve rezervasyon web sitelerine ek olarak, sigorta şirketlerini, BT şirketlerini ve telekomünikasyon şirketlerini, ayrıca dünya çapındaki devlet kurumlarını ve departmanlarını da hedeflemektedir.
Sızan belgelere göre, Rana organizasyonunun ayrıca SCADA endüstriyel kontrol sistemine zarar vermek için Stuxnet veya Shamoon gibi kötü amaçlı yazılımlar geliştirmesi gerekiyordu. Ancak ClearSky araştırmacıları şunları söyledi: "Büyük bütçeye rağmen proje başarılı olamadı ve hedeflerine ulaşamadı."
Sızıntı yapanın amacı
Sızıntının arkasındaki sızıntıların kimlikleri şu anda net değil, ancak açığa çıkan belgelerin ve bilgilerin kapsamı ve kalitesinden yola çıkarak, güçlü yeteneklere sahip profesyoneller gibi görünüyorlar. Sızıntı, bu tehdit kuruluşlarının yakın gelecekte bazı saldırılar düzenlemesini engelleyebilir. Bu gizli bilgilerin açığa çıkmasıyla, İranlı bilgisayar korsanı örgütleri saldırı araçlarını yeniden geliştirmek ve saldırıları gerçekleştirmek için yeni yöntemler kullanmak zorunda kalacak. tepki.
Yazar: Gump, http: //www.mottoin.com/detail/3952.html adresinden yeniden üretilmiştir.
