В мире цифровых угроз успех обороны часто определяется способностью заглянуть за кулисы операций злоумышленников. Недавняя находка исследователей из группы Ctrl-Alt-Intel предоставила такое беспрецедентное окно в деятельность одной из наиболее активных иранских группировок государственного уровня. Им удалось идентифицировать и получить доступ к серверу управления, который, как они с высокой степенью уверенности оценивают, принадлежит группе MuddyWater. Этот коллектив, также известный под именами Static Kitten, Mango Sandstorm и TA450, связывается с Министерством разведки и безопасности Ирана (MOIS). В отчёте исследователей подробно описаны собранные с сервера инструменты, логи, данные жертв и другие артефакты, которые рисуют картину широкомасштабной кампании кибершпионажа.
Описание
Небрежность как дверь для исследователей
Ключевым фактором, позволившим провести это расследование, стали повторяющиеся провалы операционной безопасности со стороны самих злоумышленников. Открытые директории на сервере, хардкодные учётные данные и оставленные в доступности исходные коды инструментов позволили исследователям не только изучить текущую активность, но и, используя платформу Hunt.io, провести расследование по цепочке и выявить дополнительную инфраструктуру, также атрибутированную MuddyWater. Этот инцидент служит наглядным напоминанием, что даже государственные группы, обладающие значительными ресурсами, не застрахованы от критических ошибок, которые могут свести на нет их усилия по скрытности.
От разведки до внедрения: тактика и цели
Анализ данных с сервера позволил восстановить полный цикл атаки. На этапе разведки MuddyWater использовала как публичные инструменты, такие как Shodan и Nuclei, для поиска уязвимых систем, так и собственные автоматизированные пайплайны на Python для рекурсивного перебора поддоменов. Среди конкретных целей рекогносцировки значатся израильские медицинские клиники (Terem, Bet Hadar), некоммерческие организации, связанные с иммиграцией и еврейскими общинами (Nefesh B'Nefesh, Jewish Agency), компании из ОАЭ (Zivorex, NMDC Group) и даже американская компания Clearview AI, разрабатывающая технологии распознавания лиц.
Для первоначального проникновения группа применяла комплексный подход. Помимо сканирования и эксплуатации более десятка известных уязвимостей (CVE) в таких продуктах, как Ivanti Endpoint Manager Mobile, Fortinet FortiOS, SolarWinds N-Central и Citrix NetScaler, злоумышленники активно использовали атаки методом перебора (брутфорс) паролей к сервисам Outlook Web Access (OWA) и SMTP. Особый интерес вызывает обнаружение факта эксплуатации MuddyWater новых, ранее неизвестных уязвимостей типа SQL-инъекция в иранском же онлайн-маркетплейсе BaSalam. Этот эпизод - красноречивое свидетельство того, что иранские спецслужбы готовы атаковать бизнес и граждан собственной страны в рамках задач внутреннего наблюдения.
Арсенал инструментов управления и контроля
Одной из самых ценных частей находки стали несколько кастомных фреймворков для управления скомпрометированными системами (C2), исходные коды которых находились на сервере. Среди них:
- KeyC2: Python-сервер, использующий кастомный UDP-протокол для удалённого выполнения команд, загрузки и выгрузки файлов.
- PersianC2: Более зрелая система с веб-панелью управления (дашбордом), работающая через HTTP-опрос (polling) и содержащая строки на фарси.
- ArenaC2: Сложный фреймворк на базе FastAPI, шифрующий трафик с помощью AES-256-CBC и маскирующийся под фиктивный новостной сайт "ArenaReport" для усложнения обнаружения.
Кроме того, исследователи обнаружили следы использования ботнета "Tsundere", который для получения адресов своих C2-серверов использовал технологию блокчейна Ethereum, а именно смарт-контракты. Такой подход, известный как EtherHiding, значительно затрудняет блокировку инфраструктуры злоумышленников традиционными методами.
Цели и последствия: от паспортных данных до биометрических систем
Данные с сервера указывают на успешное проникновение в сети организаций в разных странах. Наиболее детально документирована эксфильтрация данных у египетской авиакомпании EgyptAir. Были похищены сканы паспортов и виз, финансовые отчёты, юридические документы и личные фотографии. Примечательно, что среди украденных файлов также находилось программное обеспечение и конфигурации систем контроля доступа китайской компании ZKTeco, что потенциально указывает на интерес группировки к биометрическим технологиям. Для вывода данных использовались разнообразные каналы: от простого Python-сервера на Flask до облачных хранилищ Wasabi S3 и put.io, а также инстансов Amazon EC2.
Выводы для специалистов по защите
Обнаруженная операция MuddyWater демонстрирует не столько высочайшую техническую сложность, сколько впечатляющий размах, адаптивность и агрессивность. Группа быстро внедряет публичные эксплойты (как в случае с модифицированным PoC для уязвимости в Fortinet), развивает собственный арсенал и ведёт одновременную охоту на десятки целей в разных секторах и странах. При этом, как показал этот инцидент, даже у таких акторов сохраняются уязвимые места в операционной безопасности.
Для защищающихся сторон исследование подчёркивает критическую важность базовых мер гигиены: своевременное обновление ПО для закрытия известных уязвимостей (особенно в периметровых устройствах вроде Fortinet и системах управления вроде Ivanti и N-Central), настройка политик сложных паролей и защиты от их перебора для внешних сервисов (OWA, SMTP), а также постоянный мониторинг сетевой активности на предмет аномальных исходящих подключений к облачным сервисам и нестандартным портам.
Индикаторы компрометации
IPv4
- 157.20.182.49
- 162.0.230.185
- 18.223.24.218
- 185.236.25.119
- 193.17.183.126
- 194.11.246.101
- 209.74.87.100
Domains
- www.xt24.com
SHA256
- 7ab597ff0b1a5e6916cad1662b49f58231867a1d4fa91a4edf7ecb73c3ec7fe6
- bedb882c6e2cf896e14ecf12c90aaa6638f780017d1b8687a40b4a81956e230f
- c8589ca999526f247db4d3902ade8a85619f8f82338c6230d1b935f413ddcb3d
Smart Contract Address
- 0x2B77671cfEE4907776a95abbb9681eee598c102E
