Иранские хакеры взломали полмира, но забыли закрыть паролем свой сервер с данными

Специалисты команды Ctrl-Alt-Intel обнаружили открытый сервер, связанный с иранской хакерской группировкой MuddyWater, и получили доступ к её инструментам, журналам операций и похищенным данным. Анализ инфраструктуры позволил проследить полный цикл кибершпионской кампании — от разведки и взлома систем до управления заражёнными устройствами и вывода информации.

Аналитики изучили виртуальный сервер в Нидерландах, на котором хранились инструменты управления заражёнными системами, скрипты, журналы атак и фрагменты данных жертв. По совокупности признаков специалисты пришли к выводу, что инфраструктура принадлежит группировке MuddyWater, известной также под названиями Static Kitten, Mango Sandstorm и Seedworm. Связь группы с Министерством разведки и безопасности Ирана ранее неоднократно упоминалась в отчётах других ИБ-компаний.

Исследование показало, что операторы активно сканировали интернет в поисках уязвимых систем. Для разведки операторы использовали Shodan, Nuclei и инструменты для перебора поддоменов. Среди целей оказались организации в Израиле, Иордании, Египте, ОАЭ, Португалии и США, включая медицинские учреждения, компании из сферы ИТ-услуг и государственные структуры.

Для получения доступа злоумышленники применяли несколько методов. Помимо массового сканирования сервисов и подбора паролей к почтовым системам Outlook Web Access и SMTP, операторы эксплуатировали ряд известных уязвимостей в корпоративном программном обеспечении. Среди них — проблемы безопасности в Fortinet FortiOS, SolarWinds N-central, Citrix NetScaler, BeyondTrust и Ivanti Endpoint Manager Mobile. Отдельно специалисты зафиксировали SQL-инъекции на двух веб-ресурсах, включая иранскую торговую платформу BaSalam.

После проникновения в сеть злоумышленники разворачивали собственные системы управления заражёнными устройствами. На сервере обнаружили несколько таких платформ. Одна из них — KeyC2 — написана на Python и позволяла удалённо выполнять команды, загружать и скачивать файлы, а также перенаправлять заражённые машины на другие управляющие серверы. Более функциональный инструмент PersianC2 работал через HTTP и включал панель управления с очередью команд, механизмом загрузки файлов и настройкой интервала связи с заражёнными системами.

Отдельный фреймворк ArenaC2 маскировался под новостной сайт ArenaReport. При обращении через браузер посетителю показывалась обычная веб-страница, тогда как вредоносные компоненты обменивались данными через скрытые HTTP-запросы с шифрованием AES-256.

Ещё один обнаруженный элемент — ботнет Tsundere. Его загрузчик на PowerShell устанавливал интерпретатор Node.js и запускал вредоносный скрипт, который получал адреса управляющих серверов через смарт-контракт в сети Ethereum. Такой подход позволяет скрывать инфраструктуру и быстро менять адреса командных серверов.

Украденные данные злоумышленники передавали разными способами. Для вывода информации злоумышленники применяли облачные сервисы Wasabi S3 и put.io, сервер Amazon EC2 и собственный веб-сервер на Python. Среди найденных файлов оказались документы, связанные с авиакомпанией EgyptAir: копии паспортов, визовые данные, финансовые документы, фотографии и видео из мессенджеров. Кроме того, операторы похитили файлы и компоненты программного обеспечения для биометрических систем контроля доступа компании ZKTeco.

По мнению авторов исследования, обнаруженная инфраструктура показывает масштаб операции MuddyWater. Группа одновременно использовала более десятка уязвимостей, собственные инструменты управления заражёнными системами и несколько каналов вывода информации. При этом расследование стало возможным из-за ошибок самих операторов — открытых каталогов на серверах, оставленных исходных кодов и повторного использования инфраструктуры.