Hacker Group Mengekspos Operasi dan Anggota APT Iran

  Peretas telah mengungkap detail tentang cara kerja kelompok spionase dunia maya yang sebagian besar dikenal di komunitas keamanan sebagai OilRig, APT34, dan HelixKitten, terkait dengan pemerintah Iran.

  Menggunakan nama online Lab Dookhtegan, para peretas menggunakan saluran Telegram untuk membuang informasi tentang infrastruktur APT34, alat peretasan, anggota, dan korban.

  Dump data bukan tipuan. Kami menerima konfirmasi dari Chronicle, perusahaan cybersecurity Alphabet, bahwa informasi yang bocor terkait dengan grup APT34 / OilRig.

  Satu teori adalah bahwa di balik kebocoran itu adalah penentang rezim Iran yang terlibat dalam operasi cyber pemerintah. Jika lebih dari satu orang melakukan ini, itu bukan kelompok besar, seseorang yang akrab dengan situasi di Iran mengatakan kepada kami.

  Brandon Levene, Kepala Intelijen Terapan di Chronicle, percaya bahwa salah satu alasan di balik kebocoran ini adalah untuk menempatkan kemampuan cyber Iran di pusat perhatian; yang lain akan mengganggu operasi di masa depan dengan memaksa APT34 untuk memperlengkapi kembali.

  Dookhtegan tidak menyembunyikan perasaan mereka terhadap aktivitas dunia maya pemerintah, menyatakan harapan bahwa orang Iran lainnya akan melakukan sesuatu untuk melawan rezim.

"Kami mengekspos di sini alat-alat siber (APT34 / OILRIG) yang telah digunakan oleh Kementerian Intelijen Iran yang kejam terhadap negara-negara tetangga Iran, termasuk nama-nama manajer yang kejam, dan informasi tentang kegiatan dan tujuan serangan siber ini. Kami berharap bahwa warga negara Iran lainnya akan bertindak untuk mengungkap wajah jelek rezim ini! "

  Dookhtegan juga membocorkan nama dan nomor telepon dari beberapa orang yang bekerja untuk Kementerian Intelijen Iran (data tentang karyawannya diklasifikasikan) serta gambar, nama, nomor telepon, dan alamat email para peretas yang diduga sebagai peretas dalam kelompok OilRig.

  Dalam pembaruan beberapa menit yang lalu, Dookhtegan mengatakan bahwa informasi pribadi tentang staf yang bekerja di Kementerian Intelijen akan mengalir setiap beberapa hari. Sekitar sepuluh menit kemudian saluran itu di-update dengan info baru (gambar, nama, dan nomor telepon) tentang dugaan anggota grup OilRig lainnya.

Alat dan infrastruktur

  Kebocoran dimulai pada 26 Maret dan terdiri dari kode sumber untuk alat buatan sendiri, URL ke web shell pada server dari organisasi di seluruh dunia, termasuk pemerintah, detail akses shell web, nama pengguna dan kata sandi dari target yang dikompromikan.

  Dalam sebuah tweet kemarin, peneliti ancaman Kaspersky, Alexey Firsch, mempublikasikan sampel 117 URL web shell yang Dookhtegan publikkan:

  Secara total, Dookhtegan menerbitkan kode untuk enam alat yang digunakan dalam operasi OilRig: Poison Frog dan Glimpse PowerShell backdoors berbasis (kedua versi alat yang disebut BondUpdater menurut Palo Alto Networks), kerang web HyperShell dan HighShell, Fox Panel, dan Webmask (yang  Alat DNSpionagedianalisis oleh Cisco Talos).

  Dalam analisis  dari peneliti keamanan freelance MisterCh0c , bagian server Poison Frog tidak lengkap dan tidak dapat digunakan sebagaimana mestinya .

  Peneliti juga memeriksa dua shell web dan menemukan bahwa dalam kasus HyperShell cookie bernama 'p' dan kata sandi yang benar diperlukan untuk mendapatkan akses. MisterCh0c mengatakan bahwa Dookhtegan mengubah "semua kata sandi yang paling berarti" dengan 'Th! SN0tF0rFAN'.

OilRig mengkompromikan target

  Dookhtegan juga menerbitkan serangkaian detail yang mengesankan tentang para korban OilRig. Ini terutama entitas (lembaga pemerintah dan perusahaan) dari Timur Tengah: Dubai Media Inc, Etihad Airways, Bandara Abu Dhabi, Minyak Nasional Emirates, Lamprell Energy Ltd., Amiri Diwan dari Kuwait, Pengadilan Administratif Oman, Kantor Perdana Menteri Emirates, Kantor Nasional Badan Keamanan Bahrain.

  Data yang menyertai dump terdiri dari URL untuk shell OilRig serta kredensial login, ribuan dari mereka.

  Dalam dump untuk Kementerian Urusan Presiden Emirates (mopa.ae) ada sekitar 900 nama pengguna dan kata sandi dan lebih dari 80 untuk akses webmail.

  Arsip untuk Dubai Media memiliki lebih dari 250 set kredensial. Yang untuk Etihad Airways memiliki lebih dari 10.000 nama pengguna dan kata sandi teks biasa, tampaknya retak dengan 'edisi lanjutan' dari alat yang disebut Windows Password Recovery. File lain termasuk info server, kesedihan basis data, dan data keluaran dari alat pasca eksploitasi Mimikatz.

  Gudang data ditarik dari server perintah dan kontrol yang digunakan oleh OilRig, Dookhtegan mengatakan, mendukung klaim dengan gambar-gambar panel kontrol dan bukti infiltrasi mereka.

  Levene Chronicle berpendapat bahwa kebocoran itu bisa menjadi pukulan bagi operasi APT34 karena kegiatan di masa depan perlu dipikirkan kembali.

"Kemungkinan kelompok ini akan mengubah perangkat mereka untuk mempertahankan status operasional," komentar Levene, menambahkan bahwa ini juga tergantung pada seberapa besar kelompok peduli tentang pembakaran.

 "Mungkin ada beberapa aktivitas peniru yang berasal dari alat yang bocor, tetapi sepertinya tidak akan digunakan secara luas," kata Levene. Poison Frog dan Glimpse memiliki kode yang dapat dimodifikasi untuk menjalankan operasi perintah dan kontrol, tetapi sebagian besar "sebagian besar alat yang bocor dalam beberapa cara sembelih," tambah peneliti.

Artikel by Vijune15
Jika ingin informasi tentang cara memasak dan cara membuat kerajinan tangan dari barang bekas silahkan kunjungi VIA ALL REVIEWS

loading...