20 abr. 2019

Grupo anónimo filtra información de APT34 iraní

Un grupo de hackers han estado revelado detalles sobre el funcionamiento interno de un grupo de ciberespionaje conocido principalmente en la comunidad de seguridad como OilRig, APT34 y HelixKitten, vinculados al gobierno iraní.

Usando el nombre en línea Lab Dookhtegan [TLG], los atacantes usan un canal de Telegram para volcar información sobre la infraestructura, las herramientas de hacking, los miembros y las víctimas de APT34.

El volcado de datos [7z / Pass: vJrqJeJo2n005FF*] no es un engaño. La información filtrada está asociada con el grupo APT34 / OilRig. Una teoría es que detrás de la filtración hay oponentes del régimen iraní involucrado en las operaciones cibernéticas del gobierno. Si más de un individuo hizo esto, no es un grupo grande, nos dijo alguien familiarizado con la situación en Irán.

Brandon Levene, Jefe de Inteligencia Aplicada en Chronicle, cree que una de las razones detrás de la filtración sería poner las capacidades cibernéticas de Irán en el centro de atención; otra sería interrumpir la operación futura obligando a APT34 a reequiparse.

Dookhtegan no ocultó sus sentimientos hacia la actividad cibernética del gobierno, expresando la esperanza de que otros iraníes hagan algo para luchar contra el régimen.
"Estamos exponiendo aquí las herramientas cibernéticas (APT34 / OILRIG) que el despiadado Ministerio de Inteligencia iraní ha estado usando contra los países vecinos de Irán, incluidos los nombres de los gerentes crueles, e información sobre las actividades y los objetivos de estos ataques cibernéticos. ¡Espero que otros ciudadanos iraníes actúen por exponer la cara realmente fea de este régimen! "
Dookhtegan también filtró los nombres y números de teléfono de algunas personas que trabajan para el Ministerio de Inteligencia iraní (los datos de sus empleados están clasificados), así como fotos, nombres, números de teléfono y direcciones de correo electrónico de presuntos hackers en el grupo OilRig.

Dookhtegan dijo que la información personal sobre el personal que trabaja en el Ministerio de Inteligencia se filtrará cada pocos días. Unos diez minutos más tarde, el canal fue actualizado con nueva información (foto, nombre y número de teléfono) sobre otro presunto miembro del grupo OilRig.

Herramientas e infraestructura

Las filtraciones comenzaron el 26 de marzo y comprenden el código fuente para las herramientas de cosecha propia, las direcciones URL de  los servidores web de organizaciones de todo el mundo, incluidos los gobiernos, los detalles de acceso a los sitios web, los nombres de usuario y las contraseñas de los destinos comprometidos.

En un tweet de ayer, el investigador de Kaspersky, Alexey Firsch publicó una muestra de las 117 URL de shell web que Dookhtegan publicó hace unos días. En total, Dookhtegan publicó el código para seis herramientas utilizadas en las operaciones de OilRig: Poison Frog y puertas traseras basadas en Glimpse PowerShell (ambas versiones de una herramienta llamada BondUpdater según Palo Alto Networks), web shells HyperShell y HighShell, Fox Panel y Webmask (herramienta de DNSpionaje analizada por Cisco Talos). En un análisis del investigador de seguridad independiente MisterCh0c, la parte del servidor de Poison Frog está incompleta y no se puede utilizar como está.

El investigador también comprobó las dos shells web y descubrió que en el caso de HyperShell se requiere una cookie llamada 'p' y una contraseña correcta para obtener acceso. MisterCh0c dice que Dookhtegan "cambió todas las contraseñas más significativas" con 'Th!sN0tF0rFAN'.

OilRig objetivos comprometidos

Dookhtegan también publicó una impresionante serie de detalles sobre las víctimas de OilRig. Estas son principalmente entidades (agencias gubernamentales y empresas) de Medio Oriente: Dubai Media Inc, Etihad Airways, Aeropuertos de Abu Dhabi, Emirates National Oil, Lamprell Energy Ltd., Amiri Diwan de Kuwait, Tribunal Administrativo de Omán, Oficina del Primer Ministro de los Emiratos, National Agencia de seguridad de Bahrein.

Los datos que acompañaban a los volcados consistían en direcciones URL para los depósitos de OilRig, así como credenciales de inicio de sesión, miles de ellos.

En el volcado del Ministerio de Asuntos Presidenciales de los Emiratos (mopa.ae) hay unos 900 nombres de usuario y contraseñas, y más de 80 para el acceso a correo web.

El archivo de Dubai Media tiene más de 250 conjuntos de credenciales. El de Etihad Airways tiene más de 10.000 nombres de usuario y contraseñas de texto sin formato, aparentemente descifrado con la "edición avanzada" de una herramienta llamada Windows Password Recovery. Otros archivos incluyen información del servidor, volcados de bases de datos y datos de salida de la herramienta de post-explotación Mimikatz.

El tesoro de datos se extrajo de los servidores de comando y control utilizados por OilRig, dice Dookhtegan, respaldando la reclamación con imágenes de paneles de control y una prueba de su infiltración.

Levene, de Chronicle, cree que la fuga podría ser un golpe para las operaciones de APT34, ya que la actividad futura debe replantearse. "Es probable que este grupo altere su conjunto de herramientas para mantener el estado operativo", comenta Levene, y agrega que esto también depende de cuánto le importe al grupo preocuparse por la quema.

Fuente: Bleepping Computer

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!