В 2016 году группировка The Shadow Brokers похитила хакерских инструментарий Агентства национальной безопасности США (АНБ). Тогда хакеры объясняли, что ранее эти инструменты принадлежали Equation Group – хакерской группе, которую ИБ-эксперты давно связали с АНБ напрямую. Долгое время хакеры пытались продать похищенную правительственную малварь, но в итоге так и не нашли покупателей. В результате весной 2017 года хакеры решили опубликовать дамп «Трудности перевода» (Lost in Translation) бесплатно, в открытом доступе.
В числе обнародованных The Shadow Brokers инструментов были бэкдор DoublePulsar и эксплоит EternalBlue, печально известно благодаря тому, что именно с их помощью по всему миру распространились вредоносы WannaCry и NotPetya.
Однако дамп The Shadow Brokers содержал не только эти известные инструменты, но и множество другой интересной информации. Так, файл sigs.py с самого начала очень заинтересовал ИБ-сообщество, так как он представляет собой настоящую золотую жилу данных о кибершпионских операциях и разведке угроз безопасности.
Считается, что этот файл – это простейший сканер малвари, который операторы АНБ использовали на взломанных компьютерах, чтобы обнаруживать следы активности различных «конкурирующих» хакерских групп. Sigs.py содержит 44 сигнатуры для обнаружения файлов (хакерских утилит), развернутых другими взломщиками. Сигнатуры были пронумерованы от 1 до 45, но номер 42 отсутствовал.
Многие специалисты заметили, что в файле причислено намного больше группировок, чем известно ИБ-сообществу и крупным компаниям, специализирующимся на безопасности. И даже сейчас, спустя три года после публикации, 15 сигнатур из sigs.py все еще остаются неопознанными, то есть АНБ по-прежнему лучше понимает иностранные хакерские операции, чем многие поставщики кибербезопасности.
На этой неделе, в рамках виртуального саммита по кибербезопасности OPCDE, исследователь Хуан Андрес Герреро-Сааде рассказал, что обнаружил группировку, которая скрывалась в упомянутом файле под номером 37. Точнее, исследователь исправил неверную атрибуцию, так как ранее предполагалось, что под номером 37 подразумевается китайская APT Iron Tiger.
Хуан Андрес Герреро-Сааде — бывший сотрудник «Лаборатории Касперского» и Google. Он сообщил, что сигнатура номер 37 была предназначена для отслеживания хакерской группы, которая, по его мнению, может базироваться в Иране. Эксперт присвоил группе название Nazar APT (на основе строки, найденной в коде малвари). Он рассказывает, что активность этой группы не связана ни с одной из публично известных APT, и относится к 2008 году. Хотя в целом группировка, похоже, была наиболее активна в период с 2010 по 2013 год.
Эксперт утверждает, что с помощью собственных анонимных источников ему удалось идентифицировать пострадавших от атак Nazar APT, которые до сих пор заражены малварью соответствующей сигнатуре номер 37. По его словам, жертвы располагаются исключительно в Иране.
«Интересно (и я упоминаю об этом, потому что малварь очень старая и нацелена на такие старые версии Windows, как Windows XP и ниже), что у этой APT по-прежнему есть жертвы, которые находятся в Иране. Всякий раз, когда об Иране говорят как об атакующей стороне, мы сразу думаем о жертвах в странах Запада <…>, но когда речь идет об атаках на сам Иран, мы склонны подозревать западные APT, — рассказывает Герреро-Сааде. — В данном случае, если понимать всю атрибуцию буквально, получается своего рода вызов этому общепринятому мнению, так как рассматриваемый иранский кластер активности направлен исключительно на цели внутри самого Ирана».
Ниже можно увидеть запись доклада Хуана Андреса Герреро-Сааде на OPCDE.