Broncodes Iraanse cyberspionage-instrumenten gedumpt op Telegram Lab

Broncodes van Iraanse cyberspionage-instrumenten zijn sinds half maart gelekt op Telegram-Lab. De instrumenten behoren aan een van Iran’s elite cyberspionage-eenheden toe, bekend als APT34, Oilrig of HelixKitten. Een persoon die schuil gaat onder het pseudoniem Dookhtegan zou verantwoordelijk zijn voor het lek, aldus ZDnet.

Volgens Chronicle, de cybersecurity unit van Alphabet, hebben inmiddels verschillende cyberbeveiligingsdeskundigen de echtheid van deze ‘hacktools’ bevestigd. Het incident doet volgens ZDnet denken aan het lek van de Shadow Brokers, die in 2017 hacktools van de Amerikaanse geheime dienst (NSA) blootlegde. Ondanks dat de Iraanse hacktools bij lange na niet zo geavanceerd zijn als die van de NSA, zijn ze nog steeds erg gevaarlijk.

Data medewerkers cyberspionage-eenheid

Dookhtegan publiceerde naast de hacktools ook gegevens van gehackte medewerkers van de cyberspionage-eenheid. Het gaat om gebruikersdata van 66 medewerkers uit landen in het Midden-Oosten, Afrika, Oost-Azië en Europa. Het zou gaan om telefoonnummers, afbeeldingen en namen van functionarissen die betrokken zijn bij APT34-operaties. Dookhtegan heeft voor sommige officieren zelfs speciale PDF-bestanden gemaakt voorzien van hun naam, functie, afbeelding, telefoonnummers, e-mailadressen en sociale-mediaprofielen. De buitgemaakte data van APT34-medewerkers zou doorgaans zijn opgeslagen in enkele van de backend command-and-control (C&C)-servers van APT34.

Naast overheidsmedewerkers zouden ook private ondernemingen zijn getroffen, waaronder Etihad Airways and Emirates National Oil. In deze gaat het veelal om gebruikersnamen, wachtwoordcombinaties, interne netwerkservers informatie en gebruikers-IP’s, die hoogstwaarschijnlijk via phishing-pagina’s zijn buitgemaakt. Verder plaatste Dookhtegan ook nog screenshots op Telegram-Lab met als doel het vernietigen van de besturingspanelen van APT34-hacktools en het wipen van servers.

Opvallend is dat ZDnet beweert afgelopen maand nog met dezelfde hacktooks en slachtoffergegevens te zijn geïnformeerd. Een verslaggever zou de informatie anoniem zijn toegestuurd via een persoonlijk bericht op Twitter. Ze zijn nu dan ook van mening dat het om een en dezelfde persoon gaat.

Hackertools

De cyberspionage-instrumenten die het zou betreffen zijn:

  • Glimpse (newer version of a PowerShell-based trojan that Palo Alto Networks names BondUpdater
  • PoisonFrog (older version of BondUpdater
  • HyperShell (web shell that Palo Alto Networks calls TwoFace
  • HighShell (another web shell)
  • Fox Panel (phishing kit)
  • Webmask (DNS tunneling, main tool behind DNSpionage)

Bovendien heeft Dookhtegan ook gegevens over eerdere APT34-operaties gelekt. Er zou sprake zijn van een lijst van de IP-adressen en domeinen waar de groep in het verleden web shells had gehost, en andere operationele gegevens.

DNSpionage-campagne

“We hebben meer geheime informatie over de misdaden van het Iraanse ministerie van Inlichtingen en zijn managers en we zijn vastbesloten om hen te blijven blootstellen,” zegt Dookhtegan in een op Telegram Lab geplaatst bericht, die het Iraanse ministerie van inlichtingenfunctionarissen typeert als ‘wreed’, ‘meedogenloos’ en ‘crimineel’. In een Twitter-converstatie met ZDnet beweert Dookhtegan naar eigen zeggen te hebben gewerkt aan de DNSpionage-campagne van ATP34. Iets wat ZDnet met een korrel zout neemt. Hij of zij kan namelijk ook lid zijn van een buitenlandse inlichtingendienst, die probeert zijn echte identiteit te verbergen.

Copycat-activiteit

Brandon Levene, hoofd Toegepaste Intelligentie bij Chronicle, vermoedt dat Dookhtegan de toolset zal wijzigen om de operationele status te behouden: “Er kan wat copycat-activiteit zijn afgeleid van de gelekte tools, maar het is onwaarschijnlijk dat er sprake zal zijn van wijdverspreid gebruik. De tools zijn niet geavanceerd genoeg en ook ontbreekt er goed gereedschap, zoals destijds bij het Shadow Brokers’ NSA-lek.” 

Natie-staten of criminele groeperingen, die deze hacktools willen hergebruiken, doen dit volgens ZDnet waarschijnlijk als een smoke-screen of onder een valse vlag, om hun operaties te maskeren als zijnde APT34.

 

Lees ook: Verouderde industriële besturingssystemen voer voor cybercriminelen