Microsoft nxjerr raportin e sulmit kibernetik në Shqipëri: Ishin iranianet, si ndodhi gjithçka

Gjigandi Microsoft ka bashkëpunuar me Shqipërinë për të sprapsur sulmin e hakerave iranian kundër qeverisë shqiptare. Së fundmi Microsfot ka nxjerrë të detajuar të dhënat e këtij sulmi, dhe luftën e tyre për ta rikuperuar humbjet e pësuar në rrjetet e qeverisë.

Me efekt të menjëhershëm Shqipëria ka ndërprerë marrëdhëniet diplomatike me Republikën Islamike të Iranit. Shkak për këtë u bënë “provat e pakundërshtueshme” për sulme kibernetike. SHBA bën përgjegjëse Iranin.

Menjëherë pas sulmeve shkatërruese kibernetike kundër qeverisë shqiptare në mes të korrikut, Ekipi i Zbulimit dhe Reagimit të Microsoft (DART) u angazhua nga qeveria shqiptare për të drejtuar një hetim mbi sulmet.

Në kohën e sulmeve, Microsoft deklaroi publikisht se: “Microsoft është i përkushtuar të ndihmojë klientët tanë të jenë të sigurt duke arritur më shumë. Gjatë këtij aktiviteti, ne mobilizuam shpejt Ekipin tonë të Zbulimit dhe Reagimit (DART) për të ndihmuar qeverinë shqiptare që të rimëkëmbet me shpejtësi nga ky sulm kibernetik. Microsoft do të vazhdojë të bashkëpunojë me Shqipërinë për të menaxhuar rreziqet e sigurisë kibernetike, ndërkohë që do të vazhdojë të përmirësojë mbrojtjen nga sulmuesit me qëllim të keq.” 

Microsoft vlerësoi me besim të lartë se më 15 korrik 2022, aktorë të sponsorizuar nga qeveria iraniane kryen një sulm kibernetik shkatërrues kundër qeverisë shqiptare, duke prishur faqet e internetit të qeverisë dhe shërbimet publike. Në të njëjtën kohë, dhe përveç sulmit shkatërrues kibernetik, MSTIC vlerëson se një aktor i veçantë i sponsorizuar nga shteti iranian ka rrjedhur informacione të ndjeshme që ishin filtruar muaj më parë. Uebfaqe të ndryshme dhe media sociale u përdorën për të nxjerrë këtë informacion.

Ka pasur disa faza të identifikuara në këtë fushatë:

  • Ndërhyrja fillestare
  • Eksfiltrimi i të dhënave
  • Kriptimi dhe shkatërrimi i të dhënave
  • Operacionet e informacionit

Microsoft vlerësoi me besim të lartë se shumë aktorë iranianë morën pjesë në këtë sulm – me aktorë të ndryshëm përgjegjës për faza të ndryshme:

  • DEV-0842 vendosi softuerin e keqpërdorimit dhe fshirësit
  • DEV-0861 fitoi akses fillestar dhe nxori të dhëna
  • DEV-0166 të dhënat e filtruara
  • DEV-0133 infrastruktura e hetuar e viktimave

Microsoft përdor emërtimet DEV-#### si një emër të përkohshëm që i jepet një grupi të panjohur, në zhvillim ose një grupi aktivitetesh kërcënimi, duke lejuar MSTIC ta gjurmojë atë si një grup unik informacioni derisa të arrijmë një besim të lartë për origjinën ose identitetin të aktorit që qëndron pas aktivitetit. Pasi të plotësojë kriteret, referenca DEV konvertohet në një aktor me emër:

Microsoft vlerësoi me besim të moderuar se aktorët e përfshirë në marrjen e aksesit fillestar dhe ekfiltrimit të të dhënave në sulm janë të lidhur me EUROPIUM, i cili ka qenë i lidhur publikisht me Ministrinë e Inteligjencës dhe Sigurisë së Iranit (MOIS) dhe u zbulua duke përdorur tre grupime unike të aktivitetit. Ne i gjurmojmë ato veçmas bazuar në grupe unike mjetesh dhe/ose TTP; megjithatë, disa prej tyre mund të punojnë për të njëjtën njësi.

Informacioni specifik për Shqipërinë shpërndahet me leje nga qeveria shqiptare.

Një tabelë organizative e aktorëve të ndryshëm të kërcënimit që punuan së bashku për të sulmuar qeverinë shqiptare. Niveli i lartë përmend Ministrinë e Inteligjencës dhe Sigurisë së Iranit si organizatë sponsorizuese. Një tabelë në anën e majtë liston emrat e grupeve të aktorëve të kërcënimit dhe pseudonimet e tyre përkatëse.Figura 1. Aktorët kërcënues që qëndrojnë pas sulmit kundër qeverisë shqiptare

Analiza

Provat e mbledhura gjatë përgjigjes mjeko-ligjore treguan se aktorët e lidhur me Iranin e kryen sulmin. Kjo dëshmi përfshin, por nuk kufizohet në:

  • Sulmuesit u vëzhguan duke vepruar jashtë Iranit
  • Sulmuesit përgjegjës për ndërhyrjen dhe nxjerrjen e të dhënave përdorën mjete të përdorura më parë nga sulmues të tjerë të njohur iranianë
  • Sulmuesit përgjegjës për ndërhyrjen dhe nxjerrjen e të dhënave synuan sektorë dhe vende të tjera që janë në përputhje me interesat iraniane
  • Kodi i fshirësit është përdorur më parë nga një aktor i njohur iranian
  • ransomware u nënshkrua nga e njëjta certifikatë dixhitale e përdorur për të nënshkruar mjete të tjera të përdorura nga aktorët iranianë

Ndërhyrja dhe eksfiltrimi

Një grup që Microsoft vlerëson se është i lidhur me qeverinë iraniane, DEV-0861, ka të ngjarë të ketë akses në rrjetin e një “viktime” të qeverisë shqiptare në maj 2021 duke shfrytëzuar cenueshmërinë CVE-2019-0604 në një server të patched SharePoint, administrata.al (Collab -Web2. *.* ), dhe u forcua aksesi deri në korrik 2021 duke përdorur një llogari shërbimi të konfiguruar gabimisht që ishte anëtar i grupit administrativ lokal. Analiza e regjistrave të Exchange sugjeron që DEV-0861 më vonë eksfiloi postën nga rrjeti i viktimës midis tetorit 2021 dhe janarit 2022.

DEV-0861 u vu re se funksiononte nga IP-të e mëposhtme për të eksfiltuar postën:

Analiza e sinjaleve nga këto IP dhe burime të tjera, tregoi se DEV-0861 ka eksploruar në mënyrë aktive postën nga organizata të ndryshme në vendet e mëposhtme që nga prilli 2020:

Një grafik i afatit kohor të periudhave të ndryshme kur aktori i kërcënimit DEV-0861 po ekfilronte email nga vende të ndryshme. Janë shtatë periudha kohore të shfaqura si shigjeta, me të gjitha aktivitetet që ndodhin ndërmjet prillit 2020 deri në maj 2022.
Figura 2. Afati kohor i aktiviteteve të ekfiltrimit të të dhënave nga DEV-0861

Profili gjeografik i këtyre viktimave – Izraeli, Jordania, Kuvajti, Arabia Saudite, Turqia dhe Emiratet e Bashkuara Arabe – përputhet me interesat iraniane dhe historikisht janë shënjestruar nga aktorët shtetërorë iranianë, veçanërisht aktorët e lidhur me MOIS.

DEV-0166 u vu re duke eksfiltruar postën nga viktima midis nëntorit 2021 dhe majit 2022. DEV-0166 ka të ngjarë të përdorte mjetin Jason.exe për të hyrë në kutitë postare të komprometuara. Një analizë publike e Jason.exe mund të gjendet këtu . Vini re se ky mjet thuhet se është përdorur nga aktorë të lidhur me MOIS.

Një pamje e ekranit të tastierës së përdoruesit të një mjeti sulmi të quajtur Jason, i përdorur për të nxjerrë emailet nga objektivat. Konsola kërkon informacione të synuara si adresa, emri i përdoruesit, fjalëkalimi dhe të tjera, në mënyrë që të nxjerrë email nga llogaritë e synuara.Figura 3. Pamja e ekranit të veglës Jason.exe

Ransomware dhe fshirëse

Sulmi kibernetik ndaj qeverisë shqiptare përdori një taktikë të përbashkët të aktorëve të sponsorizuar nga shteti iranian duke vendosur fillimisht ransomware , e ndjekur nga vendosja e malware-it të fshirësit. Fshirësi dhe ransomware kishin të dy lidhje mjeko-ligjore me shtetin iranian dhe grupet e lidhura me Iranin. Fshirësi që DEV-0842 vendosi në këtë sulm përdori të njëjtin çelës licence dhe drejtues EldoS RawDisk si ZeroCleare, një fshirëse që aktorët shtetërorë iranianë përdorën në një sulm ndaj një kompanie energjie në Lindjen e Mesme në mesin e 2019. Në atë rast, IBM X-Force vlerësoi se aktorët e lidhur me EUROPIUM fituan akses fillestar gati një vit përpara sulmit me fshirëse. Sulmi me fshirëse u krye më pas nga një aktor i veçantë dhe i panjohur iranian. Kjo është e ngjashme me zinxhirin e ngjarjeve që Microsoft zbuloi kundër qeverisë shqiptare.

Kodi i përdorur në këtë sulm kishte këto karakteristika:

Emri i skedarit SHA-256
cl.exe e1204ebbd8f15dbf5f2e41dddc5337e3182fc4daf75b05acc948b8b965480ca0
rwdsk.sys 3c9dc8ada56adf9cebfc501a2d3946680dcb0534a137e2e27a7fcb5994cd9de6

I ngulitur në fshirësin cl.exe ishte vargu gjashtëkëndor ‘B4B615C28CCD059CF8ED1ABF1C71FE03C0354522990AF63ADF3C911E2287A4B906D47D, i cili ishte i njëjti çelës i licencës i përdorur për mjetin El93C911E2287A4B906D47D, i cili ishte i njëjti çelës i licencës, i cili ishte i njëjti çelës i licencës, i cili ishte i njëjti mjet drejtuesi i dokumentit të licencës. u abuzua gjithashtu nga fshirësi ZeroCleare dhe u përdor për të fshirë skedarë, disqe dhe ndarje në sistemet e synuara. Ndërsa ZeroCleare nuk përdoret gjerësisht, ky mjet po ndahet mes një numri më të vogël aktorësh të lidhur duke përfshirë aktorë në Iran me lidhje me MOIS.

Ngarkesa e ransomware e përdorur në këtë sulm nga operatori DEV-0842 kishte këto karakteristika:

Emri i skedarit SHA-256
GoXml.exe f116acc6508843f59e59fb5a8d643370dce82f492a217764521f46a856cc4cb5

Ky mjet është nënshkruar me një certifikatë dixhitale të pavlefshme nga Kuwait Telecommunications Company KSC. Kjo certifikatë kishte një gjurmë gishti SHA-1.

Telemetria e Microsoft tregon se kjo certifikatë është përdorur vetëm për të nënshkruar 15 skedarë të tjerë – një gjurmë shumë e vogël, që sugjeron se certifikata nuk ishte e shpërndarë gjerësisht midis grupeve të aktorëve të palidhur. Shumë binare të tjera me të njëjtën certifikatë dixhitale janë parë më parë në skedarë me lidhje me Iranin, duke përfshirë një viktimë të njohur DEV-0861 në Arabinë Saudite në qershor 2021:

Emri i skedarit SHA-256
Lexo.exe ea7316bbb65d3ba4efc7f6b488e35db26d3107c917b665dc7a81e327470cb0c1

Nuk është e qartë nëse Read.exe u hoq nga DEV-0861 në këtë viktimë saudite ose nëse DEV-0861 ia dorëzoi gjithashtu aksesin viktimës saudite në DEV-0842.

Indikacione shtesë për sponsorizimin shtetëror iranian

Mesazhet, koha dhe përzgjedhja e objektivave të sulmeve kibernetike forcuan besimin tonë se sulmuesit po vepronin në emër të qeverisë iraniane. Mesazhet dhe përzgjedhja e objektivit tregojnë se Teherani ka të ngjarë të përdorë sulmet si hakmarrje për sulmet kibernetike që Irani percepton se janë kryer nga Izraeli dhe Mujahedin-e Khalq (MEK) , një grup disident iranian me bazë kryesisht në Shqipëri që kërkon të përmbysë Republikën Islamike të Iranit.

Mesazhimi

Logoja e sulmuesit është një shqiponjë që pre në simbolin e grupit haker “Predatory Sparrow” brenda Yllit të Davidit (Figura 4). Kjo sinjalizon se sulmi ndaj Shqipërisë ishte hakmarrje për operacionet e Predatory Sparrow kundër Iranit , të cilat Teherani e percepton se përfshin Izraelin. Predatory Sparrow ka marrë përgjegjësinë për disa sulme kibernetike të profilit të lartë dhe shumë të sofistikuar kundër subjekteve të lidhura me Iraninqë nga korriku 2021. Kjo përfshinte një sulm kibernetik që ndërpreu programet televizive të Transmetimit të Republikës Islamike të Iranit (IRIB) me imazhe që përshëndesin udhëheqësit e MEK në fund të janarit. Predatory Sparrow paralajmëroi për sulmin disa orë përpara kohe dhe pretendoi se ata e mbështetën dhe paguanin për të, duke treguar se të tjerët ishin të përfshirë. Zyrtarët iranianë fajësuan MEK për këtë sulm kibernetik dhe gjithashtu fajësuan MEK dhe Izraelin për një sulm kibernetik që përdori të njëjtat imazhe dhe mesazhe kundër bashkisë së Teheranit në qershor .

Mesazhi në imazhin e shpërblesës tregon se MEK, një kundërshtar i gjatë i regjimit iranian, ishte objektivi kryesor pas sulmit të tyre ndaj qeverisë shqiptare. Imazhi i shpërblesës, si disa postime të Drejtësisë së Atdheut, grupi që shtynte haptazi mesazhe dhe nxirrte të dhëna të lidhura me sulmin, pyeti “pse duhet të shpenzohen taksat tona për terroristët e Durrësit”. Kjo është një referencë për MEK-un, të cilin Teherani i konsideron terroristë , të cilët kanë një kamp të madh refugjatësh në qarkun e Durrësit në Shqipëri.

Një foto e logos së aktorit kërcënues, një shqiponjë që pret një harabeli brenda Yllit të Davidit. Ka tekst në fund të logos, me dorezën në Twitter @homelandjustice. Në të dyja anët e logos ka tekst, ku të dyja shkruhet "Pse duhet të shpenzohen taksat tona për terroristët e Durrësit?". Numrat e kontaktit të aktorëve të kërcënimit renditen më pas në fund të tekstit.
Figura 4. Imazhi i Ransomware dhe baneri i Drejtësisë së Atdheut

Mesazhet e lidhura me sulmin pasqyronin nga afër mesazhet e përdorura në sulmet kibernetike kundër Iranit, një taktikë e zakonshme e politikës së jashtme iraniane që sugjeron një qëllim për të sinjalizuar sulmin si një formë hakmarrjeje. Niveli i detajeve të pasqyruara në mesazhe gjithashtu zvogëlon gjasat që sulmi të ishte një operacion i rremë nga një vend tjetër përveç Iranit.

  • Numrat e kontaktit të renditur në imazhin e shpërblesës (Figura 4), për shembull, ishin të lidhur me shumë drejtues të lartë shqiptarë, duke pasqyruar sulmet kibernetike në hekurudhat e Iranit dhe pompat e karburantit, të cilat përfshinin një numër telefoni kontakti që i përkiste Zyrës së Udhëheqësit Suprem iranian .
  • Mesazhet në operacionet e informacionit theksonin gjithashtu shënjestrimin e politikanëve të korruptuar të qeverisë dhe mbështetjen e tyre për terroristët dhe interesin për të mos dëmtuar popullin shqiptar (Figura 5). Në mënyrë të ngjashme, sulmi ndaj kompanive iraniane të çelikut pretendoi se synonte fabrikat e çelikut për lidhjet e tyre me Korpusin e Gardës Revolucionare Islamike (IRGC) duke shmangur dëmtimin e iranianëve. Një tjetër sulm kibernetik ndaj një linje ajrore iraniane në fund të vitit 2021, i cili u pretendua nga Hooshyaran-e Vatan (që do të thotë “Vëzhguesit e Atdheut” në farsi), theksoi korrupsionin e Teheranit dhe shpërdorimin e parave për aktivitetet e IRGC jashtë vendit. 
Një pamje nga ekrani i një postimi në Twitter nga përdoruesi @homelandjustice. Postimi përbëhet nga teksti ku thuhet "Ne, grupi i drejtësisë së atdheut, nuk kemi bërë dhe nuk duam të cenojmë interesat e popullit shqiptar. Por kur bëhet fjalë për qeverinë dhe politikanët e korruptuar të Shqipërisë, kjo është një histori tjetër. Shqipëria nuk është shtëpi për terroristët dhe mashtruesit"
Figura 5. Mesazh nga Drejtësia e Atdheut ditë pas sulmit kibernetik.

Koha

Sulmi kibernetik i 15 korrikut ndodhi disa javë pas një vargu sulmesh kibernetike ndaj Iranit , një javë përpara Samitit Botëror të Iranit të Lirë të sponsorizuar nga MEK dhe në linjë me lëvizjet e tjera të politikës iraniane kundër MEK, duke forcuar më tej gjasat e përfshirjes iraniane. Më 16 korrik, një ditë pas sulmit kibernetik, Ministria e Punëve të Jashtme e Iranit lëshoi ​​një deklaratë duke caktuar politikanë aktualë dhe ish-amerikanë për mbështetjen e MEK. Samiti Botëror i Iranit të Lirë, të cilin regjimi iranian e kundërshton në mënyrë aktive, u anulua këtë vit pas paralajmërimeve për kërcënime të mundshme terroristenë Samitin e 21 korrikut. Disa ditë pas Samitit të planifikuar Botëror të Iranit të Lirë, shtypi zyrtar iranian publikoi një editorial që bënte thirrje për veprim ushtarak kundër MEK-ut në Shqipëri. Kjo varg ngjarjesh sugjeron se mund të ketë pasur një përpjekje të gjithë qeverisë iraniane për t’iu kundërvënë MEK-ut nga Ministria e Punëve të Jashtme të Iranit, agjencitë e inteligjencës dhe organet zyrtare të shtypit.

Zgjedhja e objektivit

Disa nga organizatat shqiptare të shënjestruara në sulmin shkatërrues ishin organizatat dhe agjencitë qeveritare ekuivalente në Iran që përjetuan sulme kibernetike të mëparshme me mesazhe të lidhura me MEK. Kjo sugjeron që qeveria iraniane zgjodhi ato objektiva për të sinjalizuar sulmet kibernetike si një formë hakmarrjeje të drejtpërdrejtë dhe proporcionale, një taktikë e zakonshme e regjimit.

Operacionet paralele të informacionit dhe amplifikimi

Përpara dhe pas nisjes së fushatës së mesazheve “Atland Justice”, llogaritë e personave të mediave sociale dhe një grup shtetasish iranianë dhe shqiptarë të jetës reale të njohur për pikëpamjet e tyre pro Iranit, anti-MEK, promovuan pikat e përgjithshme të bisedës së fushatës dhe përforcuan rrjedhjet e publikuara nga llogaritë e Drejtësisë së Atdheut në internet. Promovimi paralel i fushatës “Drejtësia e Atdheut” dhe temave të saj qendrore nga këto subjekte në hapësirën online – para dhe pas sulmit kibernetik – sugjeron një operacion informacioni me bazë të gjerë që synon të përforcojë ndikimin e sulmit.

Përpara sulmit kibernetik, më 6 qershor, Ebrahim Khodabandeh, një ish-anëtar i pakënaqur i MEK-ut postoi një letër të hapur drejtuar kryeministrit shqiptar Edi Rama duke paralajmëruar pasojat e përshkallëzimit të tensioneve me Iranin. Duke thirrur “pushimin e sistemeve komunale të Teheranit” dhe ” stacionet e benzinës “, Khodabandeh pretendoi se MEK ishte burimi i “akteve sabotuese kundër interesave të popullit iranian [sic]” dhe argumentoi se këto përbënin “punën armiqësore të qeverinë tuaj” dhe ka shkaktuar “armiqësi të dukshme me kombin iranian [sic]”.

Katër ditë më vonë, më 10 qershor, Khodabandeh dhe Shoqëria Nejat, një OJQ anti-MEK që ai drejton, pritën një grup shtetasish shqiptarë në Iran. Grupi përfshinte anëtarë të një organizate tjetër anti-MEK të quajtur Shoqata për Mbështetjen e Iranianëve që jetojnë në Shqipëri (ASILA) – Gjergji Thanasi, Dashamir Mersuli dhe Vladimir Veis. Duke pasur parasysh natyrën shumë politike të punës së ASILA-s për çështje që lidhen me një grup që Teherani e konsideron organizatë terroriste (MEK), ka shumë mundësi që kjo vizitë të jetë kryer me sanksion nga shteti. Pas kthimit të tyre nga Irani, më 12 korrik, Shoqëria Nejat tha se policia shqiptare bastisi zyrat e tyre dhe arrestoi disa anëtarë të ASILA-s. Ndërsa Shoqëria Nejat tha se ky bastisje ishte rezultat i “akuzave të rreme dhe të pabaza”, sipas mediave lokale.bastisja erdhi nga lidhjet e mundshme me shërbimet e inteligjencës iraniane.

Një foto e katër meshkujve që qëndrojnë afër njëri-tjetrit, të veshur me veshje zyrtare dhe duke parë kamerën. Mashkulli në anën e majtë mban syze.
Figure 6. ASILA members in Iran in June 2022. Pictured, from left, are Gjergji Thanasi, Ebrahim Khodabandeh, Dashamir Mersuli, and Vladimir Veis.

Në vazhdën e sulmit kibernetik, më 23 korrik, Thanasi dhe Olsi Jazexhi, një tjetër shtetas shqiptar që shfaqet shpesh në median e sponsorizuar nga shteti iranian PressTV duke përkrahur pozicione anti-MEK, kanë shkruar një letër të dytë të hapur drejtuar presidentit të atëhershëm shqiptar Ilir Meta. publikuar edhe në faqen e internetit të Shoqërisë Nejat. Kjo letër i bënte jehonë pretendimit qendror të Drejtësisë së Atdheut – domethënë se vazhdimi i Shqipërisë për të pritur MEK-un përbënte një rrezik për popullin shqiptar. Jazexhi dhe Thanasi i bënë thirrje Metës që të mbledhë Këshillin e Sigurisë Kombëtare të Shqipërisë për të “shqyrtuar nëse Shqipëria ka hyrë në një konflikt kibernetik dhe ushtarak me Republikën Islamike të Iranit”.

Në maj të vitit 2021, afërsisht në të njëjtën kohë kur aktorët iranianë filluan ndërhyrjen e tyre në sistemet e viktimave të qeverisë shqiptare, llogari për dy persona të mediave sociale anti-MEK , të cilat duket se nuk korrespondojnë me njerëz të vërtetë, u krijuan në Facebook dhe Twitter. Llogaritë kryesisht postojnë përmbajtje anti-MEK dhe angazhohen me llogaritë e mediave sociale të disa prej individëve të detajuar më lart. Këto dy llogari së bashku me një llogari të tretë, më të vjetër, ishin ndër të parat që promovuan postime nga llogaritë e Drejtësisë së Atdheut në Twitter dhe të treja rritën në mënyrë dramatike shkallën e postimeve anti-MEK pasi sulmi kibernetik i mesit të korrikut 2022 u bë publik.

Ekzistojnë disa prova shtesë që roli i këtyre personave shtrihej përtej amplifikimit të thjeshtë të mediave sociale dhe në prodhimin e përmbajtjes. Një nga personat që postonte në mënyrë të përsëritur përmbajtjen e Drejtësisë së Atdheut kishte shkruar më parë për American Herald Tribune të lidhur me IRGC- në tashmë të zhdukur dhe faqe të tjera lajmesh, shpesh në terma negativë për MEK-un. Ndërkohë, një llogari e dytë e personazhit mund të ketë tentuar të kontaktojë të paktën një gazetë shqiptare përpara hakimit, duke kërkuar “bashkëpunim” dhe aftësinë për të botuar me median.

Promovimi paralel i fushatës “Drejtësia në Atdhe” dhe temave të saj qendrore nga këta individë dhe persona në internet, si para ashtu edhe pas sulmit kibernetik, i shton një dimension njerëzor imponues përpjekjes më të gjerë të ndikimit të Drejtësisë së Atdheut. Ndërkohë që nuk ka pasur marrëdhënie të drejtpërdrejta të vëzhguara midis aktorëve të kërcënimit përgjegjës për sulmin shkatërrues dhe këtyre aktorëve të mesazheve, veprimet e tyre ngrenë pyetje të denja për shqyrtim të mëtejshëm.

Aktiviteti i vëzhguar i aktorit

DART dhe MSTIC mbështetën shfrytëzimin e analizës së sulmit pas shpërblesës dhe fshirësitMicrosoft 365Mbrojtësi dhe mbledhja e objekteve shtesë mjeko-ligjore. Analiza identifikoi përdorimin e dobësive për të implantuar predha uebi për qëndrueshmëri, veprime zbulimi, teknika të zakonshme të grumbullimit të kredencialeve, metoda të shmangies së mbrojtjes për të çaktivizuar produktet e sigurisë dhe një përpjekje përfundimtare të veprimeve për vendosjen objektive të enkriptimit dhe fshirjes së binarëve. Përpjekja e sponsorizuar nga Irani për shkatërrim kishte më pak se 10% ndikim total në mjedisin e klientit.

Akses dhe implant

Bazuar në analizat investigative, duke filluar nga maji 2021, aktorët shfrytëzuan dobësitë e një pike fundore të përballur me publikun për të ekzekutuar kodin arbitrar që implantoi predha uebi në serverin e papatchuar SharePoint (Collab-Web2.*.*), siç u tha më parë. Këto predha të përgjithshme në internet siguruan mundësinë për të ngarkuar skedarë, për të shkarkuar skedarë, për të fshirë skedarët, për të riemërtuar, për të ekzekutuar komanda me një opsion për të ekzekutuar si përdorues specifik.

Një pamje e ekranit të ndërfaqes grafike të përdoruesit të një predhe në internet, nga këndvështrimi i një sulmuesi. Konsola ka dy skeda: komanda dhe eksploruesi i skedarëve, ku sulmuesi duhet të futë informacione për të ekzekutuar komanda kundër objektivit të tyre.
Figura 7. Konsola web shell nga këndvështrimi i sulmuesit

Predhat e uebit u vendosën në drejtoritë e mëposhtme:

  • C:\Program Files\Common Files\microsoft shared\Ub Server Extensions\16\TEMPLATE\LAYOUTS\evaluatesiteupgrade.cs.aspx
  • C:\Program Files\Common Files\microsoft shared\Ueb Server Extensions\16\TEMPLATE\LAYOUTS\Pickers.aspx
  • C:\ProgramData\COM1\frontend\Error4.aspx

Lëvizja anësore dhe ekzekutimi

Pas aksesit fillestar dhe implantimit, aktori i kërcënimit u vëzhgua duke përdorur Mimikatz për mbledhjen e kredencialeve dhe një kombinim të klientëve Impacket dhe Desktop në distancë për përpjekjet e lëvizjes anësore duke përdorur llogarinë e integruar të administratorit. U identifikuan vegla të pakthyeshme, gjë që sugjeron shumë se përpjekjet e zbulimit ishin të pranishme në formën e emrave të skedarëve të ekzekutivëve, të dhënave të kutisë postare rezidente, bazës së të dhënave dhe detajeve të përdoruesit. Veprime të ngjashme nga aktorët e kërcënimit të vëzhguara nga MSTIC dhe DART detajojnë veglat me porosi dhe ato me burim të hapur të përdorura për këto përpjekje. Artefaktet e veglave të identifikuara:

  • IPGeter.exe
  • FindUser.exe
  • recdisc.exe
  • NetE.exe
  • avancuar_port_scanner.exe
  • mimikatz.exe
  • shared.exe
  • Skedarët e ruajtur CSV dhe TXT

Mbledhja e të dhënave

Gjatë periudhës tetor 2021 – janar 2022, aktorët e kërcënimit përdorën një mjet unik të eksfiltrimit të postës elektronike i cili ndërvepronte me API-të e shërbimeve të internetit të Exchange për të mbledhur email në një mënyrë që maskonte veprimet. Aktorët e kërcënimit i realizuan këto veprime duke krijuar një identitet të quajtur “HealthMailbox55x2yq” për të imituar një llogari të Shërbimit Shëndetësor të Microsoft Exchange duke përdorur komandat e Exchange PowerShell në serverët Exchange. Aktorët e kërcënimit më pas shtuan llogarinë në grupin e roleve të integruara të shkëmbimit shumë të privilegjuar “Menaxhimi i Organizatës” për të shtuar më vonë rolin e “Imitimit të Aplikacionit”. Aplikimi Imitimroli i menaxhimit u mundëson aplikacioneve të imitojnë përdoruesit në një organizatë për të kryer detyra në emër të përdoruesit, duke ofruar mundësinë që aplikacioni të veprojë si pronar i një kutie postare.

Evazioni i mbrojtjes

Para fillimit të fazës përfundimtare të sulmit, aktorët e kërcënimit fituan akses administrativ në një zgjidhje të vendosur për zbulimin dhe përgjigjen e pikës fundore (EDR) për të bërë modifikime, duke hequr bibliotekat që preknin agjentët në të gjithë ndërmarrjen. Përveç kësaj, një binar për të çaktivizuar komponentët e Microsoft Defender Antivirus u përhap duke përdorur vegla të personalizuara. Binar i shpërndarë me emrin disable-defender.exepyet për TokenElevation duke përdorur API-në GetTokenInformation dhe kontrollon nëse procesi po funksionon me privilegje të ngritura. Nëse token nuk funksionon me privilegj të ngritur, binar printon “Duhet të ekzekutohet si administrator!\n”. Nëse token është ngritur, ai kërkon TokenUser dhe kontrollon nëse SID është “S-1-5-18”. Nëse procesi aktual nuk funksionon në kontekstin e sistemit, ai printon “Rinis me privilegje\n” dhe përpiqet të ngrejë privilegjin.

Për të ngritur privilegjin, binar kontrollon nëse shërbimi TrustedInstaller është i aktivizuar. Për ta bërë këtë, ai fillon shërbimin “SeDebugPrivilege” dhe “SeImpersonatePrivilege” për t’i caktuar privilegjet vetes. Më pas kërkon për procesin winlogon.exe , merr tokenin e tij dhe imiton thread-in e thirrjes duke përdorur ImpersonateLoggedOnUser/SetThreadToken. Pas imitimit si winlogon.exe , ai hap procesin TrustedInstaller, merr tokenin e tij për imitim dhe krijon një proces të ri me privilegje të ngritura duke përdorur CreateProcessWithTokenW.

Një grafik i katër hapave kryesorë që sulmuesi ndërmerr për të çaktivizuar komponentët e mbrojtjes së objektivit të tij. Katër kuti teksti janë rreshtuar horizontalisht, me një shigjetë pas çdo kutie. Kutitë e tekstit përmbajnë sa vijon: "Disable-defender.exe si administrator", "Impersonate Winlogon.exe", "Impersonate TrustedInstaller.exe", "Disable-defender.exe me privilegjin TrustedInstaller"
Figura 8. Si sulmuesi është në gjendje të shmangë komponentët e mbrojtjes

Pasi të krijojë me sukses procesin e vet me privilegjin TrustedInstaller, ai vazhdon të çaktivizojë komponentët e Defender.

  • Përfundon smartscreen.exe
  • Modifikon shërbimin WinDefend në DemandLoad.
  • Modifikon vlerën “TamperProtection” në 0
  • Pyetje për klasën e hapësirës së emrave të WMI “Root\Microsoft\Windows\Defender” “MSFT_MpPreference” për “DisableRealtimeMonitoring”
  • Vendos vlerën “DisableAntiSpyware” në 1
  • Vendos vlerën “SecurityHealth” në 3
  • Vendos vlerën “DisableAntiSpyware” në 0
  • Vendos vlerën e shërbimit “Start” “SYSTEM\CurrentControlSet\Services\WinDefend” në 3
  • Vendos vlerën “DisableRealtimeMonitoring” në 1
  • Modifikon cilësimet e mëtejshme duke përdorur vlerat e klasës WMI “Root\Microsoft\Windows\Defender” në hapësirën e emrave “MSFT_MpPreference”,
    • “EnableControlled Folder Access”
    • “PUAPmbrojtja”
    • “Çaktivizo monitorimin në kohë reale”
    • “Çaktivizo monitorimin e sjelljes”
    • “DisableBlockAtFirstSeen”
    • “Disable PrivacyMode”
    • “Signature Disable UpdateOnStartupWithoutEngine”
    • “Çaktivizo skanimin e arkivave”
    • “Çaktivizoni sistemin e parandalimit të ndërhyrjeve”
    • “DisableScriptScanning”
    • “DisableAntiSpyware”
    • “Çaktivizoni Antivirusin”
    • “Dorëzo miratimin e mostrave”
    • “MAPS Raportimi”
    • “HighThreatDefaultAction”
    • “ModerateThreatDefaultAction”
    • “LowThreatDefaultAction”
    • “SevereThreatDefaultAction”
    • “ScanScheduleDay”

Teknikat shtesë të evazionit përfshinin fshirjen e veglave, ngjarjet e Windows dhe regjistrat e aplikacioneve.

Veprimet në objektiv

Shpërndarja e binareve të enkriptimit dhe fshirjes u realizua me dy metoda nëpërmjet një vegle të personalizuar të kopjimit të skedarëve në distancë SMB Mellona.exe , fillimisht i quajtur MassExecuter.exe . Skedari në distancë i metodës së parë kopjoi skedarin binar të shpërblesës GoXml.exe dhe një skedar bat që shkakton ekzekutimin e shpërblimit ose fshirësit në hyrjen e përdoruesit. Metoda e dytë ishte duke thirrur në distancë binarin e shpërblesës me mjetin Mellona.exe , duke postuar kopjen e skedarit në distancë SMB.

Një pamje e ekranit të linjave të komandës së procesit të përdorura për mjetin e kopjimit të skedarit në distancë SMB, Mellona.exe.
Figura 9. Linjat e komandës së procesit për Mellona.exe të përdorura për të shpërndarë malware

win.bat – Skedar grumbull për ekzekutimin e shpërblimit – Trojan:Win32/BatRunGoXml

  • Ekzekuton binarin e shpërblesës nga dosja e nisjes së të gjithë përdoruesve dhe do të ekzekutohet në aktivizimin e hyrjes së përdoruesit.
Një pamje nga ekrani i kodit nga skedari win.bat i përdorur për të ekzekutuar ransomware.
Figura 10. Përmbajtja Win.bat

GoXml.exe – binar ransomware – Ransom:Win32/Eagle!MSR

  • Merr >= 5 argumente, dhe argumentet mund të jenë çdo gjë, pasi kërkon vetëm numërimin e argumenteve. Nëse numri i argumenteve të linjës së komandës është më pak se 5, ai do të dështojë dhe do të krijojë një kuti dialogu Open nëpërmjet GetOpenFileNameA që lejon përdoruesin të hapë një skedar *.xml
  • Nëse janë dhënë 5 ose më shumë argumente të linjës së komandës, ajo së pari do të kontrollojë instancat e ekzekutimit duke hapur Mutex-in më poshtë nëpërmjet OpenMutexA:
"Global\\ abcdefghijklmnoklmnopqrstuvwxyz01234567890abcdefghijklmnopqrstuvwxyz01234567890"
  • Nëse nuk ka raste të tjera të ekzekutimit, ai do të krijojë Mutex-in e mësipërm nëpërmjet CreateMutexA.
  • Përpjekjet për të montuar të gjitha vëllimet:
    • Gjen vëllimet e disponueshme përmes FindFirstVolumeW dhe FindNextVolumeW.
    • Merr dosjet e montuara të vëllimit nëpërmjet GetVolumePathNamesForVolumeNameW.
    • Nëse nuk ka asnjë pikë të montuar për volumin, krijon një direktori të re me emrin c:\\HD%c (%c është A, B, C, …) nëpërmjet CreateDirectoryW.
    • Monton volumin në drejtorinë e krijuar rishtazi nëpërmjet SetVolumeMountPointW.
  •  Nis cmd.exe dhe ekzekuton skriptin e mëposhtëm të grupit përmes tubit anonim:
Një pamje nga ekrani i kodit të skriptit të grupit që drejtohet nga sulmuesi si pjesë e sulmit të ransomware.
Figura 11. Përmbajtja e skriptit të grupit të ransomware
  • Vargjet janë të koduara me Algoritmin RC4 me çelësin “8ce4b16b22b58894aa86c421e8759df3”.
  • Gjeneron çelësin duke përdorur funksionin rand() dhe e përdor atë për të nxjerrë çelësin RC4 për të enkriptuar skedarët. Çelësi i nxjerrë më pas kodohet me çelësin publik të koduar në skedar.
    • Ky çelës i koduar më pas kodohet me karaktere të personalizuara Base64 dhe i bashkëngjitet shënimit të shpërblimit.
  • Riemërton skedarin si [emri i skedarit origjinal].lck , dhe më pas kodon skedarin e riemërtuar.
  • Hedh një skedar shënimesh shpërblimi me emrin How_To_Unlock_MyFiles.txt në çdo dosje përpara se të kriptohet skedarët, shënimet e shpërblimit shkruhen në shqip.
Një pamje nga ekrani i shënimit të ransomware-it të rënë nga ransomware. Ai shfaq tekstin e shkruar në shqip në të djathtë, duke i thënë viktimës se skedarët e tyre janë të koduar dhe se nuk është e mundur të rikuperohen skedarët pa një çelës privat. Numrat e kontaktit jepen nga sulmuesi që viktima të telefonojë për të marrë çelësin privat.
Figura 12. Shënim shpërblesë i shkruar në shqip
  • Kryen një vetë-fshirje duke nisur cmd.exe dhe ekzekuton një skript grumbull përmes tubit anonim për të kryer fshirjen.
Një pamje ekrani e kodit të skriptit të grupit të përdorur nga sulmuesi për të fshirë skedarin e ransomware.
Figura 13. Skript grumbull për fshirje
- ISLAMSHOP.CH -spot_img

LEXO MË SHUMË

Së fundi