Σε ένα περιστατικό που θυμίζει τη διαρροή των hacking tools της NSA από τους Shadow Brokers, κάποιος δημοσίευσε παρόμοια εργαλεία hacking που ανήκουν σε μία από τις κορυφαίες ομάδες κατασκοπείας του Ιραν, που είναι γνωστή σαν APT34, Oilrig ή HelixKitten.
Τα hacking tools που διέρρευσαν δεν είναι τόσο εξειδικευμένα όσο τα εργαλεία της NSA που διαρρεύσαν το 2017, αλλά είναι άκρως επικίνδυνα.
Διέρρευσαν επίσης και τα δεδομένα των θυμάτων των εργαλείων και κυκλοφορούν στο διαδίκτυο.
Τα εργαλεία διέρρευσαν από τα μέσα Μαρτίου σε ένα κανάλι της εφαρμογής Telegram από ένα άτομο που χρησιμοποιεί σαν ψευδώνυμο το Lab Dookhtegan.
Εκτός από τα εργαλεία hacking, ο Lab Dookhtegan δημοσίευσε δεδομένα από τα θύματα της ομάδας APT34. Τα δεδομένα περιέχουν συνδυασμούς ονομάτων και κωδικών πρόσβασης και φαίνεται να συλλέχθηκαν μέσω σελίδων ηλεκτρονικού “ψαρέματος”.
Να αναφέρουμε ότι ο λογαριασμός του στο Twitter έχει κλείσει για ευνόητους λόγους
https://twitter.com/dookhtegan
Αρκετοί ειδικοί από τον τομέα της ασφάλειας στον κυβερνοχώρο επιβεβαίωσαν ήδη την αυθεντικότητα των εργαλείων.
Στο κανάλι του Telegram που ανακαλύφθηκε σήμερα, ο hacker έχει διαρρεύσει τον πηγαίο κώδικα έξι hacking εργαλείων αλλά και το περιεχόμενο από πολλά ενεργά backend panel, όπου συλλέχθηκαν τα δεδομένα των θυμάτων.
Hacking tools:
– Glimpse (νεότερη έκδοση ενός trojan που βασίζεται στο PowerShell και η Palo Alto Networks ονομάζει BondUpdater)
– PoisonFrog (παλαιότερη έκδοση του BondUpdater)
– HyperShell (web shell που η Palo Alto Networks αποκαλεί TwoFace)
– HighShell (άλλο web shell)
– Fox Panel (κιτ phishing)
– Webmask (DNS tunneling, κύριο εργαλείο πίσω από το DNSPionage)
Εκτός από τον πηγαίο κώδικα των παραπάνω εργαλείων, ο Dookhtegan διέρρευσε επίσης και δεδομένα των θυμάτων που είχαν συγκεντρωθεί σε μερικούς από τους διακομιστές εντολών και ελέγχου (C&C από το command-and-control) της ομάδας APT34.
Συνολικά, ο Dookhtegan διέρρευσε δεδομένα από 66 θύματα, κυρίως από χώρες της Μέσης Ανατολής, την Αφρική, την Ανατολική Ασία και την Ευρώπη.
Τα στοιχεία προέρχονται από κυβερνητικές υπηρεσίες, αλλά και από ιδιωτικές εταιρείες. Οι δύο μεγαλύτερες εταιρείες που αναφέρονται στο κανάλι τηλεγράφων είναι η Etihad Airways και η Emirates National Oil. Ένας κατάλογος των θυμάτων (αλλά χωρίς ονόματα εταιρειών / κρατικών φορέων) είναι διαθέσιμος παρακάτω.
___________________
- Bloatware; αυτόματη αφαίρεση από τα Windows 10
- Microsoft hack: οι hackers μπορούσαν να διαβάζουν emails