Spionase Cyber APT33 Kelompok Hacker Iran Menyusup dalam jaringan US, Arab, & Korea Selatan
 |
| Pada bulan Maret 2016, AS menuduh tujuh orang Iran terkait dengan dugaan keterlibatan mereka dalam kampanye serangan denial service (DDoS) selama lebih dari 176 hari. (Kredit: Alex Wong / Getty Images) |
Ketika membahas dugaan kelompok hacker Timur Tengah dengan kemampuan destruktif, banyak orang secara otomatis memikirkan kelompok Iran yang diduga sebelumnya menggunakan SHAMOON - alias Disttrack - untuk menargetkan organisasi di Teluk Persia. Namun, selama beberapa tahun terakhir, kami telah melacak kelompok Iran yang terpisah yang diketahui secara luas dengan kemampuan destruktif potensial, yang kami sebut APT33. Analisis kami menunjukkan bahwa APT33 adalah kelompok yang cakap yang telah melakukan operasi spionase dunia sejak setidaknya 2013. Kami menilai APT33 bekerja atas perintah pemerintah Iran.
Investigasi baru-baru ini oleh konsultan reaksi insiden Mandiant FireEye dikombinasikan dengan analisis Intelligent Ancaman Ancaman FireEye telah memberi kita gambaran yang lebih lengkap tentang operasi, kemampuan, dan motivasi potensial APT33. Blog ini menyoroti beberapa analisis kami. Laporan rinci kami tentang FireEye MySIGHT berisi tinjauan menyeluruh atas bukti dan analisis pendukung kami. Kami juga akan membahas kelompok ancaman ini lebih jauh selama webinar kami pada 21 September pukul 8 pagi ET.
Penargetan
APT33 telah menargetkan organisasi - mencakup beberapa industri - berkantor pusat di Amerika Serikat, Arab Saudi dan Korea Selatan. APT33 telah menunjukkan ketertarikan khusus pada organisasi di sektor penerbangan yang terlibat dalam kapasitas militer dan komersial, serta organisasi di sektor energi yang memiliki hubungan dengan produksi petrokimia.
Dari pertengahan 2016 sampai awal 2017, APT33 mengkompromikan sebuah organisasi AS di sektor kedirgantaraan dan menargetkan konglomerat bisnis yang berada di Arab Saudi dengan kepemilikan penerbangan.
Selama periode waktu yang sama, APT33 juga menargetkan sebuah perusahaan Korea Selatan yang terlibat dalam penyulingan minyak dan petrokimia. Baru-baru ini, pada bulan Mei 2017, APT33 tampaknya menargetkan sebuah organisasi Saudi dan konglomerat bisnis Korea Selatan dengan menggunakan file berbahaya yang berusaha menarik korban dengan lowongan pekerjaan untuk sebuah perusahaan petrokimia Arab Saudi.
Kami menilai penargetan beberapa perusahaan dengan kemitraan terkait penerbangan ke Arab Saudi menunjukkan bahwa APT33 mungkin mencari wawasan tentang kemampuan penerbangan militer Arab Saudi untuk meningkatkan kemampuan penerbangan domestik Iran atau untuk mendukung pengambilan keputusan militer dan strategis Iran terhadap Saudi Arabia. Arab.
Kami yakin bahwa penargetan organisasi Saudi tersebut mungkin merupakan upaya untuk mendapatkan wawasan tentang rival regional, sementara penargetan perusahaan Korea Selatan mungkin disebabkan oleh kemitraan Korea Selatan baru-baru ini dengan industri petrokimia Iran serta hubungan Korea Selatan dengan perusahaan petrokimia Saudi. Iran telah menyatakan minatnya untuk mengembangkan industri petrokimia mereka dan sering mengemukakan ekspansi ini dalam persaingan dengan perusahaan petrokimia Saudi. APT33 mungkin telah menargetkan organisasi-organisasi ini sebagai hasil keinginan Iran untuk memperluas produksi petrokimia sendiri dan meningkatkan daya saingnya di wilayah ini.
Penargetan umum organisasi yang terlibat dalam energi dan petrokimia mencerminkan penargetan yang sebelumnya diamati oleh kelompok ancaman lain yang diduga Iran, yang menunjukkan ketertarikan bersama pada sektor-sektor di seluruh aktor Iran.
Gambar 1 menunjukkan cakupan global penargetan APT33.
 |
| Gambar 1: Lingkup Penargetan APT33 |
Spear Phishing
APT33 mengirim email phishing tombak ke karyawan yang pekerjaannya terkait dengan industri penerbangan. Email ini termasuk umpan rekrutmen rekrutmen dan berisi tautan ke file aplikasi HTML berbahaya (.hta). File .hta berisi uraian tugas dan tautan ke posting pekerjaan yang sah di situs kerja populer yang relevan dengan individu yang ditargetkan.
Contoh .hta kutipan file diberikan pada Gambar 2. Untuk pengguna, file tersebut akan tampak sebagai referensi jinak pada posting pekerjaan yang sah; Namun, tanpa sepengetahuan pengguna, file .hta juga berisi kode tertanam yang secara otomatis mendownload backdoor APT33 kustom.
 |
| Gambar 2: Kutipan dari sebuah file berbahaya .hta APT33 |
Kami menilai APT33 menggunakan modul phishing terintegrasi di dalam ALFA TEaM Shell yang tersedia untuk publik untuk mengirim ratusan email phishing tombak ke orang-orang yang ditargetkan pada tahun 2016. Banyak email phishing muncul yang sah - mereka merujuk kesempatan kerja dan gaji yang spesifik. , memberikan link ke situs kerja perusahaan palsu tersebut, dan bahkan menyertakan pernyataan mempekerjakan Equal Opportunity perusahaan palsu tersebut. Namun, dalam beberapa kasus, operator APT33 tertinggal dalam nilai default modul phishing shell. Ini tampaknya merupakan kesalahan, karena beberapa menit setelah mengirim email dengan nilai default, APT33 mengirim email ke penerima yang sama dengan nilai default yang dihapus.
Seperti yang ditunjukkan pada Gambar 3, modul phishing "fake mail" di ALFA Shell berisi nilai default, termasuk alamat email pengirim (solevisible @ gmail [.] Com), baris subjek ("situs Anda diretas oleh saya"), dan email badan ("Hai Admin yang terhormat").
 |
| Gambar 3: ALFA TEaM Shell v2-Fake Mail (Default) |
Gambar 4 menunjukkan contoh email yang berisi nilai default shell.
 |
| Gambar 4: Contoh Email yang dihasilkan oleh ALFA Shell dengan Nilai Default |
Domain Masquerading
APT33 mendaftarkan beberapa domain yang menyamar sebagai perusahaan penerbangan Arab Saudi dan organisasi Barat yang bersama-sama memiliki kemitraan untuk memberikan pelatihan, pemeliharaan dan dukungan untuk armada militer dan komersial Saudi. Berdasarkan pola penargetan yang diamati, APT33 kemungkinan menggunakan domain ini di email phishing tombak untuk menargetkan organisasi korban.
Domain berikut menyamar sebagai organisasi ini: Boeing, Alsalam Aircraft Company, Northrop Grumman Aviation Arabia (NGAAKSA), dan Vinnell Arabia.
boeing.servehttp [.] com
|
alsalam.ddns [.] bersih
|
ngaaksa.ddns [.] bersih
|
ngaaksa.sytes [.] bersih
|
vinnellarabia.myftp [.] org
|
Boeing, perusahaan Alsalam Aircraft, dan Saudia Aerospace Engineering Industries mengadakan usaha patungan untuk menciptakan Saudi Rotorcraft Support Center di Arab Saudi pada tahun 2015 dengan tujuan untuk melayani armada rotor Arab Saudi dan membangun tenaga kerja mandiri di basis pasokan kedirgantaraan Saudi .
Alsalam Aircraft Company juga menawarkan perawatan militer dan komersial, dukungan teknis, dan desain interior dan layanan pemugaran.
Dua dari domain tersebut tampaknya meniru usaha patungan Northrop Grumman. Ini usaha patungan - Vinnell Saudi dan Northrop Grumman Aviation Saudi - memberikan dukungan penerbangan di Timur Tengah, khususnya di Arab Saudi. Baik Vinnell Arabia dan Northrop Grumman Aviation Arabia telah terlibat dalam kontrak untuk melatih Kementerian Garda Nasional Arab Saudi.
Persona yang Teridentifikasi Terkait dengan Pemerintahan Iran
Kami mengidentifikasi malware APT33 yang terkait dengan persona Iran yang mungkin telah dipekerjakan oleh pemerintah Iran untuk melakukan aktivitas ancaman cyber melawan musuh-musuhnya.
Kami menilai seorang aktor yang menggunakan pegangan "xman_1365_x" mungkin telah terlibat dalam pengembangan dan penggunaan potensial backdoor TURNEDUP APT33 karena dimasukkannya pegangan di jalur pemrosesan-debugging (PDB) dari banyak sampel TURNEDUP. Contohnya bisa dilihat pada Gambar 5.
 |
| Gambar 5: "xman_1365_x" String PDB dalam Contoh TURNEDUP |
Xman_1365_x juga seorang manajer komunitas di forum pemrograman dan rekayasa perangkat lunak Barnamenevis Iran, dan akun terdaftar di forum Shabgard dan Ashiyane yang terkenal di Iran, meskipun kami tidak menemukan bukti yang menunjukkan bahwa aktor ini pernah menjadi anggota formal Shabgard atau Ashiyane kelompok hacktivist.
Pelaporan sumber terbuka menghubungkan aktor "xman_1365_x" ke "Institut Nasr", yang konon setara dengan "tentara maya" Iran dan dikendalikan oleh pemerintah Iran. Secara terpisah, bukti tambahan menghubungkan "Institut Nasr" dengan serangan tahun 2011-2013 terhadap industri keuangan, serangkaian serangan penolakan layanan yang dijuluki Operation Ababil. Pada bulan Maret 2016, Departemen Kehakiman AS membatalkan sebuah surat dakwaan yang menamai dua orang yang diduga disewa oleh pemerintah Iran untuk membangun infrastruktur serangan dan melakukan serangan denial of service terdukung untuk mendukung Operasi Ababil. Sementara individu dan aktivitas yang digambarkan dalam dakwaan berbeda dari yang dibahas dalam laporan ini, namun beberapa bukti bahwa individu yang terkait dengan "Institut Nasr" mungkin memiliki hubungan dengan pemerintah Iran.
Potensi Hubungan dengan Kemampuan Merusak dan Perbandingan dengan SHAMOON
Salah satu droppers yang digunakan oleh APT33, yang kami sebut sebagai DROPSHOT, telah dikaitkan dengan perangkat lunak perusak SHAPESHIFT. Penelitian open source mengindikasikan bahwa SHAPESHIFT mungkin telah digunakan untuk menargetkan organisasi di Arab Saudi.
Meskipun kami hanya mengamati secara langsung APT33 menggunakan DROPSHOT untuk mengirimkan backdoor TURNEDUP, kami telah mengidentifikasi beberapa sampel DROPSHOT di alam liar yang menjatuhkan SHAPESHIFT. Malware SHAPESHIFT mampu menghapus disk, menghapus volume dan menghapus file, bergantung pada konfigurasinya. DROPSHOT dan SHAPESHIFT mengandung artefak bahasa Farsi, yang mengindikasikan bahwa alat tersebut mungkin dikembangkan oleh pembicara bahasa Farsi (Farsi adalah bahasa yang dominan dan resmi di Iran).
Meskipun kami belum secara langsung mengamati APT33 menggunakan SHAPESHIFT atau melakukan operasi destruktif, APT33 adalah satu-satunya kelompok yang kami amati menggunakan penetes DROPSHOT. Ada kemungkinan DROPSHOT dapat dibagi di antara kelompok ancaman berbasis di Iran, namun kami tidak memiliki bukti bahwa ini adalah kasusnya.
Pada bulan Maret 2017, Kasperksy merilis sebuah laporan yang membandingkan DROPSHOT (yang mereka sebut Stonedrill) dengan varian SHAMOON terbaru (disebut Shamoon 2.0). Mereka menyatakan bahwa kedua wiper menggunakan teknik anti-emulasi dan digunakan untuk menargetkan organisasi di Arab Saudi, namun juga menyebutkan beberapa perbedaan. Misalnya, mereka menyatakan bahwa DROPSHOT menggunakan teknik anti-emulasi yang lebih canggih, menggunakan skrip eksternal untuk penghapusan sendiri, dan menggunakan injeksi memori versus driver eksternal untuk penempatan. Kaspersky juga mencatat perbedaan dalam bagian bahasa sumber daya: SHAMOON menyematkan sumber bahasa Arab-Yaman sementara DROPSHOT menyematkan sumber bahasa Farsi (Persia).
Kami juga telah mengamati perbedaan dalam penargetan dan taktik, teknik dan prosedur (TTPs) yang terkait dengan grup menggunakan SHAMOON dan APT33. Misalnya, kami telah mengamati SHAMOON digunakan untuk menargetkan organisasi pemerintah di Timur Tengah, sedangkan APT33 telah menargetkan beberapa organisasi komersial baik di Timur Tengah maupun di seluruh dunia. APT33 juga telah menggunakan berbagai alat khusus dan tersedia untuk umum selama operasi mereka. Sebaliknya, kami belum mengamati keseluruhan siklus operasi yang terkait dengan SHAMOON, sebagian karena wiper menghapus artefak dari tahap awal siklus serangan.
Terlepas dari apakah DROPSHOT eksklusif untuk APT33, malware dan aktivitas ancaman tampaknya berbeda dari kelompok menggunakan SHAMOON. Oleh karena itu, kami menilai mungkin ada beberapa kelompok ancaman berbasis-Iran yang mampu melakukan operasi yang merusak.
Tambahan Ties Bolster Attribution ke Iran
Penargetan APT33 terhadap organisasi yang terlibat dalam kedirgantaraan dan energi yang paling sesuai dengan kepentingan negara-bangsa, menyiratkan bahwa aktor ancaman kemungkinan besar disponsori oleh pemerintah. Ini ditambah dengan waktu operasi - yang bertepatan dengan jam kerja Iran - dan penggunaan beberapa alat hacker dan server nama Iran memperkuat penilaian kami bahwa APT33 mungkin telah beroperasi atas nama pemerintah Iran.
Waktu dimana pelaku ancaman APT33 aktif menunjukkan bahwa mereka beroperasi di zona waktu dekat pukul 04:30 di depan Coordinated Universal Time (UTC). Waktu aktivitas penyerang yang diamati bertepatan dengan Waktu Siang Hari Iran , yaitu +0430 UTC.
APT33 sebagian besar dioperasikan pada hari-hari yang sesuai dengan pekan kerja Iran, Sabtu sampai Rabu. Hal ini terbukti dengan tidak adanya aktivitas penyerang pada hari Kamis, seperti yang ditunjukkan pada Gambar 6. Sumber-sumber publik melaporkan bahwa Iran bekerja pada hari Sabtu sampai Rabu atau Sabtu sampai Kamis minggu kerja, dengan kantor-kantor pemerintah tutup pada hari Kamis dan beberapa bisnis swasta beroperasi pada setengah hari jadwal pada hari Kamis Banyak negara Timur Tengah lainnya telah memilih untuk memiliki akhir pekan Jumat dan Sabtu. Iran adalah satu dari sedikit negara yang berlangganan pada hari Sabtu sampai Rabu pekan kerja.
APT33 memanfaatkan alat hacker dan server DNS populer di Iran yang digunakan oleh kelompok ancaman lain yang diduga Iran. Alat backdoor dan alat yang tersedia untuk umum yang digunakan oleh APT33 - termasuk NANOCORE, NETWIRE, dan ALFA Shell - semuanya tersedia di situs web peretasan Iran, yang terkait dengan peretas Iran, dan digunakan oleh kelompok ancaman lain yang diduga berada di Iran. Meskipun tidak meyakinkan dengan sendirinya, penggunaan alat hacking Iran yang tersedia untuk publik dan perusahaan hosting Iran yang populer mungkin merupakan hasil dari keakraban APT33 dengan mereka dan memberi dukungan pada penilaian bahwa APT33 boleh berbasis di Iran.
 |
| Gambar 6: APT33 Perintah Interaktif pada Hari Minggu |
Outlook dan Implikasi
Berdasarkan penargetan yang diamati, kami yakin APT33 terlibat dalam spionase strategis dengan menargetkan berbagai organisasi yang beragam secara geografis di beberapa industri. Secara khusus, penargetan organisasi di sektor kedirgantaraan dan energi mengindikasikan bahwa kelompok ancaman cenderung mencari intelijen strategis yang dapat menguntungkan sponsor pemerintah atau militer. Fokus APT33 pada penerbangan dapat mengindikasikan keinginan kelompok tersebut untuk memperoleh wawasan tentang kemampuan penerbangan militer regional untuk meningkatkan kemampuan penerbangan Iran atau untuk mendukung pembuatan keputusan militer dan strategis Iran. Penargetan mereka terhadap beberapa perusahaan induk dan organisasi di sektor energi sejalan dengan prioritas nasional Iran untuk pertumbuhan, terutama yang berkaitan dengan peningkatan produksi petrokimia.
Penggunaan beberapa custom backdoor di APT33 menunjukkan bahwa mereka memiliki akses ke beberapa sumber pengembangan mereka sendiri, yang dengannya mereka dapat mendukung operasi mereka, sementara juga memanfaatkan alat yang tersedia untuk umum. Hubungan dengan SHAPESHIFT mungkin menunjukkan bahwa APT33 terlibat dalam operasi yang merusak atau mereka berbagi alat atau pengembang dengan kelompok ancaman berbasis Iran lainnya yang melakukan operasi yang merusak.
Lampiran
Deskripsi keluarga perangkat lunak jahat
Keluarga Malware
|
Deskripsi
|
Tersedianya
|
DROPSHOT
|
Penetes yang telah diamati menjatuhkan dan meluncurkan backdoor TURNEDUP, serta malware wiper SHAPESHIFT.
|
Tidak umum
|
NANOCORE
|
Trojan akses jarak jauh yang tersedia secara publik (RAT) tersedia untuk pembelian. Ini adalah backdoor berfitur lengkap dengan kerangka plugin
|
Publik
|
NETWIRE
|
Backdoor yang mencoba mencuri kepercayaan dari mesin lokal dari berbagai sumber dan mendukung fitur backdoor standar lainnya.
|
Publik
|
TURNEDUP
|
Backdoor mampu mengunggah dan mendownload file, membuat shell terbalik, mengambil tangkapan layar, dan mengumpulkan informasi sistem
|
Tidak umum
|
Indikator Kompromi
Domain APT33 Kemungkinan Digunakan dalam Penargetan Awal
Domain
|
boeing.servehttp [.] com
|
alsalam.ddns [.] bersih
|
ngaaksa.ddns [.] bersih
|
ngaaksa.sytes [.] bersih
|
vinnellarabia.myftp [.] org
|
Domain C2
|
MALWARE
|
managehelpdesk [.] com
|
NANOCORE
|
microsoftupdated [.] com
|
NANOCORE
|
osupd [.] com
|
NANOCORE
|
mywinnetwork.ddns [.] bersih
|
NETWIRE
|
www.chromup [.] com
|
TURNEDUP
|
www.securityupdated [.] com
|
TURNEDUP
|
googlmail [.] bersih
|
TURNEDUP
|
microsoftupdated [.] bersih
|
TURNEDUP
|
syn.broadcaster [.] batu
|
TURNEDUP
|
www.googlmail [.] bersih
|
TURNEDUP
|
MD5
|
MALWARE
|
Waktu Kompilasi (UTC)
|
3f5329cf2a829f8840ba6a903f17a1bf
|
NANOCORE
|
2017/1/11 2:20
|
10f58774cd52f71cd4438547c39b1aa7
|
NANOCORE
|
2016/3/9 23:48
|
663c18cfcedd90a3c91a09478f1e91bc
|
NETWIRE
|
2016/6/29 13:44
|
6f1d5c57b3b415edc3767b079999dd50
|
NETWIRE
|
2016/5/29 14:11
|
Hash DROPSHOT / SHAPESHIFT MD5 yang tidak terdistribusi
MD5
|
MALWARE
|
Waktu Kompilasi (UTC)
|
0ccc9ec82f1d44c243329014b82d3125
|
DROPSHOT
(tetes SHAPESHIFT
|
n / a - timestomped
|
fb21f3cea1aa051ba2a45e75d46b98b8
|
DROPSHOT
|
n / a - timestomped
|
3e8a4d654d5baa99f8913d8e2bd8a184
|
SHAPESHIFT
|
2016/11/14 21:16:40
|
6b41980aa6966dda6c3f68aeeb9ae2e0
|
SHAPESHIFT
|
2016/11/14 21:16:40
|
MD5
|
MALWARE
|
Waktu Kompilasi (UTC)
|
8e67f4c98754a2373a49eaf53425d79a
|
DROPSHOT (tetes TURNEDUP)
|
2016/10/19 14:26
|
c57c5529d91cffef3ec8dadf61c5ffb2
|
TURNEDUP
|
2014/6/1 11:01
|
.
|
TURNEDUP
|
2016/9/18 10:50
|
59d0d27360c9534d55596891049eb3ef
|
TURNEDUP
|
2016/3/8 12:34
|
59d0d27360c9534d55596891049eb3ef
|
TURNEDUP
|
2016/3/8 12:34
|
797bc06d3e0f5891591b68885d99b4e1
|
TURNEDUP
|
2015/3/12 5:59
|
8e6d5ef3f6912a7c49f8eb6a71e18ee2
|
TURNEDUP
|
2015/3/12 5:59
|
32a9a9aa9a81be6186937b99e04ad4be
|
TURNEDUP
|
2015/3/12 5:59
|
a272326cb5f0b73eb9a42c9e629a0fd8
|
TURNEDUP
|
2015/3/9 16:56
|
a813dd6b81db331f10efaf1173f1da5d
|
TURNEDUP
|
2015/3/9 16:56
|
de9e3b4124292b4fba0c5284155fa317
|
TURNEDUP
|
2015/3/9 16:56
|
a272326cb5f0b73eb9a42c9e629a0fd8
|
TURNEDUP
|
2015/3/9 16:56
|
b3d73364995815d78f6d66101e718837
|
TURNEDUP
|
2014/6/1 11:01
|
de7a44518d67b13cda535474ffedf36b
|
TURNEDUP
|
2014/6/1 11:01
|
b5f69841bf4e0e96a99aa811b52d0e90
|
TURNEDUP
|
2014/6/1 11:01
|
a2af2e6bbb6551ddf09f0a7204b5952e
|
TURNEDUP
|
2014/6/1 11:01
|
b189b21aafd206625e6c4e4a42c8ba76
|
TURNEDUP
|
2014/6/1 11:01
|
aa63b16b6bf326dd3b4e82ffad4c1338
|
TURNEDUP
|
2014/6/1 11:01
|
c55b002ae9db4dbb2992f7ef0fbc86cb
|
TURNEDUP
|
2014/6/1 11:01
|
c2d472bdb8b98ed83cc8ded68a79c425
|
TURNEDUP
|
2014/6/1 11:01
|
c6f2f502ad268248d6c0087a2538cad0
|
TURNEDUP
|
2014/6/1 11:01
|
.
|
TURNEDUP
|
2014/6/1 11:01
|
ae47d53fe8ced620e9969cea58e87d9a
|
TURNEDUP
|
2014/6/1 11:01
|
b12faab84e2140dfa5852411c91a3474
|
TURNEDUP
|
2014/6/1 11:01
|
c2fbb3ac76b0839e0a744ad8bdddba0e
|
TURNEDUP
|
2014/6/1 11:01
|
a80c7ce33769ada7b4d56733d02afbe5
|
TURNEDUP
|
2014/6/1 11:01
|
6a0f07e322d3b7bc88e2468f9e4b861b
|
TURNEDUP
|
2014/6/1 11:01
|
b681aa600be5e3ca550d4ff4c884dc3d
|
TURNEDUP
|
2014/6/1 11:01
|
ae870c46f3b8f44e576ffa1528c3ea37
|
TURNEDUP
|
2014/6/1 11:01
|
bbdd6bb2e8827e64cd1a440e05c0d537
|
TURNEDUP
|
2014/6/1 11:01
|
0753857710dcf96b950e07df9cdf7911
|
TURNEDUP
|
2013/4/10 10:43
|
d01781f1246fd1b64e09170bd6600fe1
|
TURNEDUP
|
2013/4/10 10:43
|
1381148d543c0de493b13ba8ca17c14f
|
TURNEDUP
|
2013/4/10 10:43
|