CILI ËSHTË GRUPI I HAKERAVE IRANIANË I QUAJTUR “UJI I TURBULLUAR” (MUDDY WATER)?

{ Dihet se është aktiv të paktën që nga viti 2017, dhe se gjithashtu gjurmohet nga komuniteti i sigurisë kibernetike me emra të ndryshëm, duke përfshirë Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mercury, Seedworm, Static Kitten, TEMP, Zagros dhe Yellow Nix.

Ndërsa duket se vepron në mënyrë të pavarur, ai bashkëpunon me të tjera grupe, duke qenë të motivuar nga të njëjtët faktorë që përputhen me objektivat e sigurisë kombëtare iraniane, duke përfshirë spiunazhin, vjedhjen intelektuale dhe operacionet shkatërruese ose përçarëse bazuar në viktimat që ata synojnë, vuri në dukje “Talos” në mars 2022.}

Grupi i shtetit-komb iranian i njohur si Uji i Turbulluar (MuddyWater) është vëzhguar duke kryer sulme shkatërruese në mjedise hibride nën maskën e një operacioni ransomware.

Kjo është sipas gjetjeve të reja nga ekipi i Microsoft Threat Intelligence, i cili zbuloi aktorin e kërcënimit që synonte si infrastrukturat në ambiente ashtu edhe ato në renë kompjuterike në partneritet me një grup tjetër aktivitetesh në zhvillim të quajtur DEV-1084.

Ndërsa aktorët e kërcënimit u përpoqën të maskonin aktivitetin si një fushatë standarde ransomware, veprimet e parikuperueshme tregojnë shkatërrimin dhe ndërprerjen që ishin qëllimet përfundimtare të operacionit," zbuloi të premten gjigandi i teknologjisë.

“Uji i Turbulluar” është emri i caktuar për një aktor me bazë në Iran, të cilin qeveria amerikane e ka lidhur publikisht me Ministrinë e Inteligjencës dhe Sigurisë së vendit (MOIS).

Dihet se është aktiv të paktën që nga viti 2017, dhe se gjithashtu gjurmohet nga komuniteti i sigurisë kibernetike me emra të ndryshëm, duke përfshirë Boggy Serpens, Cobalt Ulster, Earth Vetala, ITG17, Mercury, Seedworm, Static Kitten, TEMP, Zagros dhe Yellow Nix.

Firma e sigurisë kibernetike Secureworks, në profilin e saj në Cobalt Ulster, vë në dukje se nuk është krejtësisht e pazakontë në fushën e aktorit të kërcënimit që të injektojë flamuj të rremë në kodin e lidhur me operacionet e tyre, si një shpërqendrim në një përpjekje për të turbulluar përpjekjet e atribuimit.

Sulmet e ngritura nga grupi kanë veçuar kryesisht vendet e Lindjes së Mesme, me ndërhyrje të vërejtura gjatë vitit të kaluar duke shfrytëzuar të metën Log4Shell, për të shkelur entitetet izraelite.

Gjetjet e fundit nga Microsoft zbulojnë se aktori i kërcënimit ndoshta ka punuar së bashku me DEV-1084 për të kryer sulmet e spiunazhit, ky i fundit kreu veprimet shkatërruese pasi “Uji i Turbulluar”, fitoi me sukses një terren në mjedisin e synuar.

Mercury ka të ngjarë të ketë shfrytëzuar dobësitë e njohura në aplikacionet e papatchuara për aksesin fillestar përpara se të dorëzojë aksesin në DEV-1084 për të kryer zbulim dhe zbulim të gjerë, për të vendosur këmbëngulje dhe për të lëvizur anash në të gjithë rrjetin, shpesh duke pritur javë dhe nganjëherë muaj përpara se të përparojë në fazën tjetër, tha Microsofti.

Në aktivitetin e zbuluar nga Redmond, DEV-1084 më pas abuzoi me kredencialet shumë të privilegjuara të komprometuara për të kryer enkriptimin e pajisjeve në premisë dhe fshirjen në shkallë të gjerë të burimeve cloud, duke përfshirë fermat e serverëve, makinat virtuale, llogaritë e ruajtjes dhe rrjetet virtuale.

Për më tepër, aktorët e kërcënimit fituan akses të plotë në kutitë e postës elektronike përmes Shërbimeve të Uebit të Exchange, duke e përdorur atë për të kryer mijëra aktivitete kërkimi dhe për të imituar një punonjës të rangut të lartë të paidentifikuar për të dërguar mesazhe si për marrësit e brendshëm ashtu edhe për ata të jashtëm.

Veprimet e sipërpërmendura vlerësohet të kenë ndodhur gjatë një harku kohor afërsisht tre orësh duke filluar në orën 12:38 të mëngjesit (kur sulmuesi hyri në mjedisin e Microsoft Azure nëpërmjet kredencialeve të komprometuara) dhe duke përfunduar në orën 3:21 të mëngjesit (kur sulmuesi dërgoi email te palët e tjera pas ndërprerjes së suksesshme të cloud).

Vlen të përmendet këtu se DEV-1084 i referohet të njëjtit aktor kërcënimi që mori personazhin "DarkBit" si pjesë e një sulmi ransomware dhe zhvatjeje që synonte Technion, një universitet kryesor kërkimor në Izrael, në shkurt. Drejtoria Kombëtare Kibernetike e Izraelit, muajin e kaluar, ia atribuoi sulmin grupit “Uji i Turbulluar (MuddyWater).

DEV-1084 e paraqiti veten si një aktor kriminal i interesuar për zhvatje, me gjasë si një përpjekje për të errësuar lidhjen e Iranit dhe motivimin strategjik për sulmin," shtoi Microsoft.

Lidhjet midis Mercury dhe DEV-1084 burojnë nga infrastruktura, adresa IP dhe mbivendosjet e mjeteve, me këto të fundit të vëzhguara duke përdorur një mjet tunelimi të kundërt të quajtur Ligolo, një objekt kryesor i Muddy Water.

Thënë kështu, nuk ka prova të mjaftueshme për të përcaktuar nëse DEV-1084 funksionon në mënyrë të pavarur nga MuddyWater dhe bashkëpunon me aktorë të tjerë iranianë, ose nëse është një nën-ekip që thirret vetëm kur ka nevojë për të kryer një sulm shkatërrues.

Cisco Talos, në fillim të vitit të kaluar, e përshkroi grupin “Uji i Turbulluar” (MuddyWater) si një "konglomerat" që përfshin disa grupime më të vogla dhe jo një grup të vetëm koheziv.

Shfaqja e DEV-1084 sugjeron një dremitje në këtë drejtim.

Ndërsa këto ekipe duket se veprojnë në mënyrë të pavarur, të gjitha ato janë të motivuara nga të njëjtët faktorë që përputhen me objektivat e sigurisë kombëtare iraniane, duke përfshirë spiunazhin, vjedhjen intelektuale dhe operacionet shkatërruese ose përçarëse bazuar në viktimat që ata synojnë, vuri në dukje Talos në mars 2022.