cnBeta
2017年,黑客组织Shadow Brokers对外宣称他们已经成功入侵了美国国家安全局(NSA)下属的黑客组织Equation Group,下载了后者大量的攻击工具并在网上发起拍卖。而现在又有黑客发布了类似的黑客工具,不过这次来自于伊朗精英网络间谍部队之一,在业内被称之为APT34,Oilrig或HelixKitten。
尽管本次发布的黑客工具并没有2017年NSA泄露的黑客工具那么复杂,但它们依然是非常危险的。这些黑客工具自今年3月中旬开始在网络上发布,以Lab Dookhtegan这个假名在Telegram频道上进行出售。
除了黑客工具之外,Dookhtegan还发布了一些似乎是来自APT34组织的黑客受害者的数据,这些数据主要是通过网络钓鱼页面收集的用户名和密码组合。
在3月中旬的时候,外媒ZDNet已经报道过这些黑客攻击以及受害者数据。在推特私信中,一位推特用户分享了一些在Telegram上发现的相同文件,因此有理由相信这个推特用户和Telegram上的 Lab Dookhtegan是同一个人。
在推特私信交流中,这位泄露者生成参与了该组织的 DNSpionage 活动,但泄露者极有可能是外国情报机构的成员,试图隐藏他们的真实身份,同时给予更加相信伊朗的黑客工具和操作的真实性。
一些网络安全专家已经确认了这些工具的真实性。 Alphabet的网络安全部门Chronicle今天早些时候向ZDNet证实了这一点。在今天发布的Telegram频道中,黑客共泄露了6个黑客工具的源代码,此外还有部分来自活跃后端面板的内容以及收集的受害者数据。
这6个黑客工具分别为:
- Glimpse(基于PowerShell的的新版木马,Palo Alto Networks命名为BondUpdater)
- PoisonFrog(旧版BondUpdater)
- HyperShell(称之为TwoFace的Palo Alto Networks网络外壳)
- HighShell(另一个Web shell)
- Fox Panel(钓鱼工具包)
- Webmask(DNS隧道,DNSpionage背后的主要工具)
根据Chronicle报道,Dookhtegan总共泄露了66名受害者的数据,这些受害者主要来自中东国家,还有非洲,东亚和欧洲。数据来自两个政府机构,也来自私营公司。 Telegram频道上指定的两家最大公司是阿提哈德航空公司和阿联酋国家石油公司。
cnBeta
周三,ZDNet报道称,网名为Lab Dookhtegan的黑客泄露了一套属于伊朗间谍组织的黑客工具,这些工具在Telegram上通常被称为APT34,Oilrig或HelixKitten。 泄密事件始于3月中旬,包括敏感信息,主要包括用户名和密码。
当Twitter用户将一些与Telegram泄露的相同文件混淆时,ZDNet意识到了这种黑客行为。虽然这位Twitter用户声称已经参与了该组织的DNSpionage活动,但ZDNet认为,他也可能是一个试图隐藏其真实身份的外国情报机构的成员。 ZDNet的假设是Twitter用户可能是Telegram Lab Dookhtegan角色。
黑客泄露了六种黑客工具的源代码:Glimpse,PoisonFrog,HyperShell,HighShell,Fox Panel和Webmask。包括Chronicle,Alphabet的网络安全部门在内的许多网络安全专家都证实了这些工具的真实性。
除了这些工具外,黑客还泄漏了几个活动后端面板中的内容,其中收集了受害者数据。 Alphabet的网络安全部门Chronicle向ZDNet证实,黑客已经泄露了66名受害者的数据,主要来自中东国家。这些数据来自政府机构和私营公司。黑客还泄露了APT34过去运营的数据,共享了该组托管Web shell和其他运营数据的IP地址和域。
除了泄露黑客工具的数据和源代码外,黑客还公布了参与APT34运营的伊朗情报部官员的公开个人信息,包括电话号码,图像和姓名。
黑客在Telegram频道上承认他已经销毁了APT34黑客工具的控制面板,并清理了他们的服务器。所以,现在伊朗的间谍组织别无选择,只能重新开始。根据泄露的文件,似乎Dookhtegan对伊朗情报部也有一些怨恨,他称之为“残忍”,“无情”和“犯罪”。
现在,一些网络安全公司正在分析泄露的数据。 在一封发给ZDNet的电子邮件中,Chronicle应用智能部门负责人Brandon Levene表示,“为了保持运营状态,该团队可能会改变他们的工具集。 可能存在一些源自泄漏工具的模仿活动,但它不太可能被广泛使用。“
在事件让人想起了阴影经纪人泄漏暴露NSA的黑客工具,有人已出版属于伊朗精锐网络间谍活动单位,称为一个类似的黑客工具APT34,石油挖掘钻塔,或HelixKitten。
黑客工具远没有2017年泄漏的NSA工具那么复杂,但它们仍然是危险的。
受害者数据也在线倾销
自3月中旬以来,这些工具已被个人使用Lab Dookhtegan假名在电报频道上泄露。
除了黑客工具之外,Dookhtegan还发布了一些似乎是来自APT34的一些黑客受害者的数据,这些数据主要包括似乎是通过网络钓鱼页面收集的用户名和密码组合。
在本报记者于3月中旬收到小费后,ZDNet此前已经知道其中一些工具和受害者数据。在Twitter DM中,Twitter用户共享了今天在Telegram上发现的一些相同文件,我们相信这个Twitter用户是Telegram Lab Dookhtegan角色。
在我们的推特谈话中,该泄密者声称已经参与了该组织的DNSpionage活动,但这应该是一丝不苟,因为泄密者很可能是外国情报机构的成员,试图隐藏他们的真实身份,同时给予更加相信伊朗的黑客工具和操作的真实性。
此外,ZDNet还了解到,同样的推特角色也曾与其他数十名记者和信息安全研究人员联系,并试图宣传这一漏洞。同样,同一个角色也在公共黑客攻击论坛上发布了一些黑客工具的链接。在这些论坛上,他声称正在销售被黑客攻击的文件,但他从未提及有关价格的任何信息。
真实性证实
一些网络安全专家已经确认了这些工具的真实性。Alphabet的网络安全部门Chronicle今天早些时候向ZDNet证实了这一点。
在今天发现的Telegram频道中,黑客泄露了六个黑客工具的源代码,以及来自几个活动后端面板的内容,其中收集了受害者数据。
黑客工具:-掠影(基于PowerShell的木马的较新版本的帕洛阿尔托网络名称BondUpdater)- PoisonFrog(旧版本BondUpdater的)- HyperShell(网络外壳,帕洛阿尔托网络电话TwoFace)- HighShell(另一个Web外壳)-福克斯面板(网络钓鱼工具包)- Webmask(DNS隧道,DNSpionage背后的主要工具)
除了上述工具的源代码之外,Dookhtegan还泄露了从APT34后端命令和控制(C&C)服务器中收集的受害者处获取的Telegram通道数据。
