cnBeta
2017年,黑客組織Shadow Brokers對外宣稱他們已經成功入侵了美國國家安全局(NSA)下屬的黑客組織Equation Group,下載了後者大量的攻擊工具並在網上發起拍賣。而現在又有黑客發佈了類似的黑客工具,不過這次來自於伊朗精英網絡間諜部隊之一,在業內被稱之為APT34,Oilrig或HelixKitten。
儘管本次發佈的黑客工具並沒有2017年NSA洩露的黑客工具那麼複雜,但它們依然是非常危險的。這些黑客工具自今年3月中旬開始在網絡上發佈,以Lab Dookhtegan這個假名在Telegram頻道上進行出售。
除了黑客工具之外,Dookhtegan還發布了一些似乎是來自APT34組織的黑客受害者的數據,這些數據主要是通過網絡釣魚頁面收集的用戶名和密碼組合。
在3月中旬的時候,外媒ZDNet已經報道過這些黑客攻擊以及受害者數據。在推特私信中,一位推特用戶分享了一些在Telegram上發現的相同文件,因此有理由相信這個推特用戶和Telegram上的 Lab Dookhtegan是同一個人。
在推特私信交流中,這位洩露者生成參與了該組織的 DNSpionage 活動,但洩露者極有可能是外國情報機構的成員,試圖隱藏他們的真實身份,同時給予更加相信伊朗的黑客工具和操作的真實性。
一些網絡安全專家已經確認了這些工具的真實性。 Alphabet的網絡安全部門Chronicle今天早些時候向ZDNet證實了這一點。在今天發佈的Telegram頻道中,黑客共洩露了6個黑客工具的源代碼,此外還有部分來自活躍後端面板的內容以及收集的受害者數據。
這6個黑客工具分別為:
- Glimpse(基於PowerShell的的新版木馬,Palo Alto Networks命名為BondUpdater)
- PoisonFrog(舊版BondUpdater)
- HyperShell(稱之為TwoFace的Palo Alto Networks網絡外殼)
- HighShell(另一個Web shell)
- Fox Panel(釣魚工具包)
- Webmask(DNS隧道,DNSpionage背後的主要工具)
根據Chronicle報道,Dookhtegan總共洩露了66名受害者的數據,這些受害者主要來自中東國家,還有非洲,東亞和歐洲。數據來自兩個政府機構,也來自私營公司。 Telegram頻道上指定的兩家最大公司是阿提哈德航空公司和阿聯酋國家石油公司。
cnBeta
週三,ZDNet報道稱,網名為Lab Dookhtegan的黑客洩露了一套屬於伊朗間諜組織的黑客工具,這些工具在Telegram上通常被稱為APT34,Oilrig或HelixKitten。 洩密事件始於3月中旬,包括敏感信息,主要包括用戶名和密碼。
當Twitter用戶將一些與Telegram洩露的相同文件混淆時,ZDNet意識到了這種黑客行為。雖然這位Twitter用戶聲稱已經參與了該組織的DNSpionage活動,但ZDNet認為,他也可能是一個試圖隱藏其真實身份的外國情報機構的成員。 ZDNet的假設是Twitter用戶可能是Telegram Lab Dookhtegan角色。
黑客洩露了六種黑客工具的源代碼:Glimpse,PoisonFrog,HyperShell,HighShell,Fox Panel和Webmask。包括Chronicle,Alphabet的網絡安全部門在內的許多網絡安全專家都證實了這些工具的真實性。
除了這些工具外,黑客還洩漏了幾個活動後端面板中的內容,其中收集了受害者數據。 Alphabet的網絡安全部門Chronicle向ZDNet證實,黑客已經洩露了66名受害者的數據,主要來自中東國家。這些數據來自政府機構和私營公司。黑客還洩露了APT34過去運營的數據,共享了該組託管Web shell和其他運營數據的IP地址和域。
除了洩露黑客工具的數據和源代碼外,黑客還公佈了參與APT34運營的伊朗情報部官員的公開個人信息,包括電話號碼,圖像和姓名。
黑客在Telegram頻道上承認他已經銷燬了APT34黑客工具的控制面板,並清理了他們的服務器。所以,現在伊朗的間諜組織別無選擇,只能重新開始。根據洩露的文件,似乎Dookhtegan對伊朗情報部也有一些怨恨,他稱之為“殘忍”,“無情”和“犯罪”。
現在,一些網絡安全公司正在分析洩露的數據。 在一封發給ZDNet的電子郵件中,Chronicle應用智能部門負責人Brandon Levene表示,“為了保持運營狀態,該團隊可能會改變他們的工具集。 可能存在一些源自洩漏工具的模仿活動,但它不太可能被廣泛使用。“
在事件讓人想起了陰影經紀人洩漏暴露NSA的黑客工具,有人已出版屬於伊朗精銳網絡間諜活動單位,稱為一個類似的黑客工具APT34,石油挖掘鑽塔,或HelixKitten。
黑客工具遠沒有2017年洩漏的NSA工具那麼複雜,但它們仍然是危險的。
受害者數據也在線傾銷
自3月中旬以來,這些工具已被個人使用Lab Dookhtegan假名在電報頻道上洩露。
除了黑客工具之外,Dookhtegan還發布了一些似乎是來自APT34的一些黑客受害者的數據,這些數據主要包括似乎是通過網絡釣魚頁面收集的用戶名和密碼組合。
在本報記者於3月中旬收到小費後,ZDNet此前已經知道其中一些工具和受害者數據。在Twitter DM中,Twitter用戶共享了今天在Telegram上發現的一些相同文件,我們相信這個Twitter用戶是Telegram Lab Dookhtegan角色。
在我們的推特談話中,該洩密者聲稱已經參與了該組織的DNSpionage活動,但這應該是一絲不苟,因為洩密者很可能是外國情報機構的成員,試圖隱藏他們的真實身份,同時給予更加相信伊朗的黑客工具和操作的真實性。
此外,ZDNet還了解到,同樣的推特角色也曾與其他數十名記者和信息安全研究人員聯繫,並試圖宣傳這一漏洞。同樣,同一個角色也在公共黑客攻擊論壇上發佈了一些黑客工具的鏈接。在這些論壇上,他聲稱正在銷售被黑客攻擊的文件,但他從未提及有關價格的任何信息。
真實性證實
一些網絡安全專家已經確認了這些工具的真實性。Alphabet的網絡安全部門Chronicle今天早些時候向ZDNet證實了這一點。
在今天發現的Telegram頻道中,黑客洩露了六個黑客工具的源代碼,以及來自幾個活動後端面板的內容,其中收集了受害者數據。
黑客工具:-掠影(基於PowerShell的木馬的較新版本的帕洛阿爾託網絡名稱BondUpdater)- PoisonFrog(舊版本BondUpdater的)- HyperShell(網絡外殼,帕洛阿爾託網絡電話TwoFace)- HighShell(另一個Web外殼)-福克斯面板(網絡釣魚工具包)- Webmask(DNS隧道,DNSpionage背後的主要工具)
除了上述工具的源代碼之外,Dookhtegan還洩露了從APT34後端命令和控制(C&C)服務器中收集的受害者處獲取的Telegram通道數據。
