Błędy OPSEC spowodowały ujawnienie tożsamości członków irańskiej grupy APT

Pomimo, że w badacze z CTU publicznie ujawnili taktyki, techniki i wewnętrzne procedury grupy jeszcze w maju 2022 r. to do dzisiaj wykazują oni wiele powtarzalnych zachowań.

Rys. 1. Ujawniona aktywność grupy COBALT MIRAGE, źródło.

Przestępcy jednak próbowali usunąć ślady swoich działań poprzez likwidację webshelli, logów oraz narzędzi. Jednak kilka z nich można było odzyskać – np. narzędzie TunnelFish (czyli zmodyfikowany wariant Fast Reverse Proxy) zostało skonfigurowane do komunikacji z dwiema domenami C2 (centrum dowodzenia): gupdate[.]nas oraz msupdate[.]top. Dokonując rekonesansu na domenach odnaleziono dodatkową infrastrukturę grupy: mssync[.]one wraz z adresami IP oraz komunikatami ransomware jakie były wysyłane do ofiar ataków. Grupa zwykle zostawiała komunikaty w postaci plików tekstowych, jednakże w tym przypadku, zostały pozostawione dokumenty PDF w różnych wersjach z podobną treścią, na ich własnym serwerze. Pliki powiązano także z kontem komunikatora Telegram (@BuySafety) oraz adresem e-mail buysafety@onionmail[.]org. Istotnym błędem ze strony grupy było pozostawienie części plików w katalogu postojowym z którego je pobierano do ofiary. Przeoczenie to spowodowało ujawnienie informacji nt. tożsamości osób zaangażowanych w grupę. Dlaczego? Bo każdy plik PDF może zawierać metadane… i tak było w tym przypadku :-). Wyjęte dane meta z pliku Hi.pdf wskazały, że dokument został utworzony 17 grudnia 2021 r. przez niejakiego “Ahmada Khatibi” w strefie czasowej UTC +3,30 jak przedstawiono na rys. 2. Ta strefa czasowa odpowiada standardowemu czasowi Iranu (IRST) więc sygnatura czasowa jest prawdopodobnie autentyczna, a tym samym cały plik i metadane. 

Rys. 2. Metadane z pliki Hi.pdf – “OOPSEC”, źródło.

Na podstawie zebranych danych cząstkowych można było popracować technikami OSINT dzięki którym, udało się namierzyć kilka profili w mediach społecznościowych. Między innymi profil na LinkedIn, informujący o tym, że Pan Ahmad jest prezesem Afkar System Co. Co ciekawe, w czerwcu 2022, anonimowy informator z konta Lab_Dookhtegan2 opublikował serię tweetów o w/w. organizacji i jej prezesie, wskazując, że działają w imieniu Intelligence Organization of Sepah, która odnosi się do Islamic Revolutionary Guard Corp (IGRC) oraz Intelligence Organization (IRGC-IO), czyli podstawowych jednostek operacyjnych wywiadu klasycznego i cybernetycznego Iranu.

Rys. 3. Konto informatora anty-reżimowego na portalu Twitter.com

Lab_Dookhtegan2 działa na Twitterze i Telegramie od 2019 r. Zweryfikował wycieki kodu źródłowego narzędzi powiązanych z kilkoma irańskimi grupami APT, w tym COBALT GYPSY i COBALT EDGEWATER. Ujawnił również informacje o wielu osobach i firmach, które rzekomo pracują dla IRGC i irańskiego Ministerstwa Wywiadu i Bezpieczeństwa (MOIS). W kwietniu 2022 r. Lab_Dookhtegan2 poinformował za pośrednictwem swoich kanałów Telegram i Twitter, że w imieniu IRGC-IO działa również irańska firma Najee Technology i Secnerd. Źródło wiedzy informatora pozostaje nieznane, jednak w cyberprzestrzeni irańskiej takie wycieki zdarzały się wcześniej. Jednakże niezależni badacze z CTU potwierdzili wspólne zasoby grupy COBALT MIRAGE oraz firmy Najee Technology na podstawie odpytań DNS i WHOIS oraz powiązań między domenami: newdesk[.]top, symantecserver[.]co, secnerd[.]ir oraz najee[.]ir – hosting pod tym samym adresem IP. Strona najee[.]ir obecnie jest wyłączona, ciekawe czemu? ;-)

Rys. 4. Powiązane domeny Najee Technology z grupą COBALT MIRAGE, źródło.

Z drugiej strony dalszy “OOPSEC”: w domenie najee[.]ir funkcjonował także serwer GitLab na którym kolejne commity oprogramowania publikował użytkownik “Unkn19wn”, który w odpytaniu WHOIS w/w. domeny został skorelowany z adresem e-mail: unkn19wn@gmail[.]com, który służył do rejestracji domeny… Jednocześnie rekord DNS nie był ukrytym i widniało w nim imię i nazwisko rejestratora: Mansour Ahmadi, prezesa Najee Technology.

Dzięki powyższej analizie, obaj panowie zostali “zaproszeni” do współpracy z FBI jak przedstawiono na rys. 5.

Rys. 5. Namierzeni współpracownicy COBALT MIRAGE na podstawie analizy OPSEC.

Model irańskiego wywiadu rządowego z wykorzystaniem kontrahentów zaciera granice między działaniami zlecanymi przez rząd a działaniami, które prywatna firma podejmuje z własnej inicjatywy. Podczas gdy część działań COBALT MIRAGE wydaje się być skoncentrowana na szpiegowaniu, znaczna część koncentruje się na generowaniu oportunistycznych przychodów poprzez działania ransomware. Chociaż firmy te mogą współpracować z IRGC-IO, ataki ransomware mogą być kolejnym źródłem dochodów, do którego mogą dążyć bez obawy przed ściganiem przez irańskie organy ścigania. 

My tymczasem zapraszamy na nasze szkolenie OSINT/OPSEC, którego tematyka i zakres wiedzy idealnie wpisują się w powyższą analizę.

Źródło:

1. https://www.secureworks.com/blog/opsec-mistakes-reveal-cobalt-mirage-threat-actors
2. https://www.secureworks.com/blog/cobalt-mirage-conducts-ransomware-operations-in-us
3. https://www.techtarget.com/searchsecurity/news/252518151/Iranian-APT-Cobalt-Illusion-launching-ransomware-attacks

~tt