Xakep #305. Многошаговые SQL-инъекции
Министерство юстиции США выдвинуло заочные обвинения в адрес трех граждан Ирана, которых подозревают во взломе компаний аэрокосмического и спутникового сектора. Один из предполагаемых хакеров ранее считался white hat специалистом.
По информации прокуратуры, Саид Пуркарим Араби (Said Pourkarim Arabi), Мохаммад Реза Испаргам (Mohammad Reza Espargham) и Мохаммад Байяти (Mohammad Bayati) много лет работали на иранское правительство и организовали хакерские кампании с 2015 года. Их атаки были нацелены на самые разные компании и организации, как в США, так и в других странах мира, откуда хакеры похищали коммерческую информацию и интеллектуальную собственность.
Согласно обнародованным судебным документам, обвиняемые создавали фейковые онлайн-профили и ящики электронной почты, чтобы выдавать себя за других людей. Как правило, они присваивали личности граждан США, работающих в спутниковом и аэрокосмическом секторе. Затем, используя эти фальшивые личины, хакеры связывались по почте с людьми, работающими в целевых организациях, и пытались вынудить своих жертв кликнуть по вредоносной ссылке.
Следователи сообщают, что хакеры выбирали свои цели из обширного списка, содержащего информацию примерно о 1800 людях, связанных с аэрокосмическими и спутниковыми компаниями, а также правительственными организациями в таких странах, как Австралия, Израиль, Сингапур, США и Великобритания.
Если жертва попадалась на удочку злоумышленников, и в ее систему проникла малварь, после хакеры задействовали такие инструменты, как Metasploit, Mimikatz, NanoCore и Python-бэкдор, чтобы обнаружить на скомпрометированных устройствах ценные данные и закрепиться в системе.
По данным американских властей, группировку возглавлял 34-летний Саид Пуркарим Араби, входивший в Корпус стражей исламской революции (КСИР). Сообщается, что Араби жил в принадлежащем КСИР дома, а в своем резюме от 2015 года он перечислил свои прошлые взломы, среди которых были атаки на компании в США и Великобритании.
Вторым участником группы якобы был Мохаммад Реза Испаргам, который известен как white hat специалист по информационной безопасности и член OWASP Foundation (1, 2). В частности, на его счету немало уязвимостей, обнаруженных в рамках bug bounty программ. Например, именно он нашел уязвимость в WinRAR, которая позволяла выполнить произвольный код на компьютере жертвы. Однако по информации следствия, Испаргам жил двойной жизнью и был black hat'ом. Якобы он был известен в сети под такими псевдонимами, как Reza Darkcoder и MRSCO, и являлся лидером иранской хак-группы Dark Coders Team, специализирующейся на взломе сайтов.
Сообщается, что Араби и Испаргам начали работать вместе, когда главной целью хакеров стали аэрокосмические и спутниковые компании. Так, Испаргам предоставил Араби малварь для атак, помог со взломами и разработал инструмент под названием VBScan, который сканировал форумы vBulletin на наличие уязвимостей. Позже Испаргам открыл исходный код этого инструмента и даже активно рекламировал его в своем Twitter.
Третий участник этой группы, Мохаммад Байяти, выполнял примерно ту же роль, что и Испаргам, то есть предоставлял «коллегам» вредоносное ПО для атак.
В настоящее время все трое обвиняемых остаются на свободе в Иране, но их имена пополнили список самых разыскиваемых ФБР киберпреступников.