Утекли исходные коды инструментов иранской кибершпионской группы APT34

В середине марта 2019 года некто Lab Dookhtegan обнародовал в Telegram инструменты иранской APT34 (она же Oilrig и HelixKitten), а также информацию о жертвах хакеров и сотрудниках Министерства информации и национальной безопасности Ирана, которые якобы связаны с операциями группировки.

Журналисты издания ZDNet, которым удалось пообщаться с Lab Dookhtegan, пишут, что, по его словам, он принимал участие в кампании DNSpionage и был членом APT34. Однако никаких доказательств этому нет, и Lab Dookhtegan вполне может оказаться сотрудником совсем не иранских спецслужб.

В Telegram были опубликованы исходные коды шести следующих инструментов APT34:

  • Glimpse (новая версия PowerShell трояна, который эксперты Palo Alto Networks называют BondUpdater);
  • PoisonFrog (старая версия BondUpdater);
  • HyperShell (web shell, известный Palo Alto Networks как TwoFace);
  • HighShell (еще один web shell);
  • Fox Panel (фишинговый набор);
  • Webmask (основной инструмент, использованный в компании DNSpionage).

По данным ZDNet, в настоящее время анализом этих решений занимаются многие ИБ-компании. Подлинность исходных кодов изданию уже подтвердили специалисты Chronicle, подразделения кибербезопасности холдинга Alphabet.

Помимо исходных кодов Lab Dookhtegan также обнародовал в открытом доступе данные о 66 жертвах APT34, обнаруженные на управляющих серверах группировки. Среди опубликованной информации, в числе прочего, были учетные данные от внутренних серверов и IP-адреса пользователей. В основном в этот список пошли компании и организации из стран Ближнего Востока, Африки, Восточной Азии и Европы. Два наиболее крупных имени среди пострадавших – это компании Etihad Airways и Emirates National Oil. Список всех жертв можно увидеть здесь.

Также Lab Dookhtegan «слил» и данные о прошлых операциях группы, включая списки IP-адресов и доменов, где группировка ранее хостила web sell’ы и другие оперативные данные.

Кроме того, анонимный изобличитель потратил немало времени на доксинг сотрудников Министерства информации и национальной безопасности Ирана, которые якобы принимали участие в операциях APT34. Для некоторых офицеров Lab Dookhtegan создал специальные PDF-файлы с «досье», где раскрыл их имена, должности, приложил фотографии, номера телефонов, email-адреса и ссылки на профили в социальных медиа. Журналисты отмечают, что негативное отношение Lab Dookhtegan к этим людям сложно не заметить, ведь в своих постах и «досье» он называет их не иначе, как «беспощадными преступниками».

Помимо вышеперечисленного, в Telegram были опубликованы скриншоты, демонстрирующие уничтожение контрольных панелей APT34 и полную очистку серверов группы, что якобы было делом рук самого Lab Dookhtegan.

Аналитики Chronicle полагают, что теперь APT34 придется серьезно изменить свой инструментарий, и пройдет какое-то время, прежде чем группа сможет полностью вернуться в состояние боевой готовности. Также можно предположить, что у APT34 теперь появятся подражатели и имитаторы, хотя широкого использования утекших инструментов, по словам аналитиков, ждать не приходится. Дело в том, что решения группировки далеко не такие сложные и комплексные, как, например, инструментарий спецслужб, похищенный хак-группой Shadow Brokers.

Фото: ZDNet

"Мария Нефёдова : Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.."

Комментарии (2)

  • Все инструменты заточены на Win web.
    Не чего под линукс. (кроме webmask)
    Как то странно.

  • Всё как обычно. Классика. Разведка И Контрразведка. Просто шкура завелась среди доверенного персонала.
    Вероятно, купили посулами сладкой жизни под присмотром(красивым фантиком).
    "за монетку за таблеточку, сняли нашу малолеточку" (с)