İran İstihbarat ve Güvenlik Bakanlığı’na (MOIS) bağlı gelişmiş kalıcı tehdit (APT), çok sayıda İran devlet bilgisayar korsanı grubuna ilk erişim hizmetlerini sağlıyor.
UNC1860, şu kötü şöhretli grupların saldırılarına geçit olmuştur: Yara izli Mantikor Ve Petrol Teçhizatı (diğer adıyla APT34, Helix Kitten, Cobalt Gypsym, Lyceum, Crambus veya Siamesekitten). Mandiant’ın yakın zamanda bir blog yazısında açıkladığı gibi, odak noktası yalnızca ihlal etmek ve bir dayanak noktası oluşturmak hükümet, medya, akademi, kritik altyapı ve özellikle telekomünikasyon gibi yüksek değerli sektörlerdeki potansiyel olarak değerli ağlarda erişim sağlıyor ve ardından erişimi diğer İran ulus-devlet aktörlerine devrediyor.
Yıllar boyunca UNC1860, Irak, Suudi Arabistan ve Katar’daki hedeflere yönelik saldırılar için bir araya geldi; Ortadoğu telekomünikasyon şirketlerinin casusluğu; Arnavutluk ve İsrail’de silme saldırılarına zemin hazırladı; ve daha fazlası.
UNC1860’ın Birçok Arka Kapısı
Mart ayında, İsrail Ulusal Siber Müdürlüğü, ülke genelindeki yönetilen hizmet sağlayıcıları, yerel yönetimler ve akademik kurumlar dahil olmak üzere, silme saldırılarının kuruluşları vurduğu konusunda uyardı. Mandiant raporunun açıkladığı üzere, tehlikeye işaret eden göstergeler (IoC’ler) arasında “Stayshante” adlı bir Web kabuğu ve “Sasheyaway” adlı bir dropper vardı; bunlar UNC1860 tarafından yönetilen yaklaşık 30 özel kötü amaçlı yazılım aracından sadece ikisiydi.
UNC1860, hedefin ağında silmeyi veya başka herhangi bir bozucu, yıkıcı veya başka türlü istismar edici davranışı yapan kişi değildir. Onun işi yalnızca o ilk dayanağı elde etmektir, öncelikle hedeflenen kuruluşlardaki kamuya açık varlıklardaki güvenlik açıklarını tarayarak, ardından giderek daha ciddi ve karmaşık bir dizi arka kapı bırakarak.
Stayshante, Sasheyaway ve benzeri araçlar suya ilk adımını atar ve “Templedoor”, “Faceface” ve “Sparkload” gibi daha önemli arka kapıları indirmek için kullanılabilir. En yüksek değerli hedefleri için UNC1860, “Templedrop” veya “Oatboat” gibi en gelişmiş, ana sahne arka kapılarını dağıtır ve bunlar “Tofupipe” ve “Tofuload” gibi TCP tabanlı pasif dinleyicileri yükler ve yürütür.
Google Cloud’un Mandiant’ında kıdemli araştırmacı olan Stav Shulman, “Bu dinleyicileri kurmak için normal Windows API çağrılarından bile yararlanmıyorlar; aslında HTTP.sys’nin belgelendirilmemiş bazı araçlarından yararlanıyorlar ki bu çılgınlık” diyor.
“Çoğu arka kapı ortak API çağrılarını kullanır, bu yüzden çoğu motor onları algılar,” diye açıklıyor Shulman. “Ancak yeterince kararlıysanız, yeterince akıllıysanız ve olağanüstü teknik bilginiz varsa, Microsoft Developer Network (MSDN) tarafından belgelenmeyen çağrıları kullanabilirsiniz. Yani UNC1860 aslında onları tersine mühendislikle kendisi yaptı, böylece siz onların çağrılarını algılamayacaksınız.”
UNC1860’ın Fark Edilmeden Kalma Hilesi
Yıkıcı davranışının olmamasının yanı sıra, Scarred Manticore, Oil Rig ve Shrouded Snooper hakkında duymanızın, ancak UNC1860 hakkında nadiren duymanızın bir nedeni daha var: UNC1860’ın tüm implantları tamamen pasiftir. Hedef ağlardan hiçbir bilgi göndermez ve herhangi bir komuta ve kontrol (C2) altyapısını sürdürmesi gerekmez.
Shulman, “Günümüzdeki tespitlerin çoğu giden iletişimlere odaklanıyor, ancak UNC1860 yalnızca gelen isteklere odaklanıyor,” diyor. “Dinledikleri gelen trafik herhangi bir sayıda gizli kaynaktan gelebilir [including] Hedefe yakın VPN düğümleri, önceki saldırıların diğer kurbanları ve hedefin ağındaki diğer konumlar.”
Örneğin 2020 yılında grubun, kurbanlarından birinin ağını Suudi Arabistan’daki potansiyel olarak savunmasız IP adreslerini taramak, Katar’daki Suudi Arabistan’daki alan adlarıyla ilişkili çeşitli hesapları ve e-posta adreslerini incelemek ve aynı bölgedeki VPN sunucularını hedeflemek için bir başlangıç noktası olarak kullandığı gözlemlendi.
Shulman’ın da belirttiği gibi, “Operasyonu tırmandırmak için, arka kapıyı etkinleştirmek üzere herhangi bir rastgele zamanda yalnızca bir komut göndermeleri gerekiyor.” Grubun implantları HTTPS ile şifrelenmiş trafiği kullandığından, kurbanlar komutlarını veya yüklerini şifresini çözemeyecek.
Shulman, kuruluşlara gelen ağ trafiğini en iyi şekilde nasıl inceleyeceklerine odaklanmaları gerektiğini öneriyor.
“Nasıl tespit ederiz [malicious traffic]? Gelen trafiğin kötü amaçlı olup olmadığına nasıl karar veririz?” diyor Shulman. “Çünkü [when UNC1860 is abusing] Siber güvenlik motorlarının yakalayacağı belgelenmiş API çağrıları, bu çağrıları kullanan çok sayıda meşru yazılım var, bu nedenle kötü amaçlı çağrıları tespit etmek çok kafa karıştırıcı olabilir ve çok sayıda yanlış pozitif sonuç verebilir. Bence gelen trafiğe odaklanmak UNC1860’ın etkinliğini tespit etmenin anahtarıdır.”