За разрушительными атаками на транспортные системы США и Израиля стоит иранская группа Black Shadow

Первым громким эпизодом стал взлом транспортного управления округа Лос-Анджелес (LA Metro). Организация подтвердила нарушение второго апреля, однако технические сбои начались гораздо раньше. Семнадцатого марта пользователи столкнулись с задержками оповещений и невозможностью пополнить проездные в мобильном приложении TAP. Сопоставив эти данные с записями, опубликованными атакующими, аналитики восстановили картину разрушения. Действуя под учётной записью, авторизованной в системе управления виртуальной инфраструктурой vCenter (платформы VMware), оператор выбрал критически важную виртуальную машину и последовательно отправил команды "Выключить" и "Удалить с диска". Обе задачи мгновенно встали в очередь и отразились в журнале vCenter в 11:52 16 марта. Это привело к безвозвратному удалению самой машины и её файлов из хранилища данных. Затем злоумышленник переместился внутрь одной из гостевых систем на Windows, открыл стандартную оснастку управления дисками и вручную удалил несколько разделов, подтверждая системные предупреждения.

Схожую тактику разрушения применили и в инфраструктуре Управления регионального транспорта Южной Флориды (SFRTA). Видеозаписи, выпущенные самими нападавшими, демонстрируют прокси-доступ по протоколу удалённого рабочего стола (RDP) с утилитой proxychains, туннелирующей трафик через узел 91.193.19.198. В этом эпизоде оператор работал в интерактивном режиме, методично удаляя ресурсы через консоли легитимного администратора. Подобный подход не требует сложных инструментов, затрудняет детектирование и выглядит со стороны как обычные действия сотрудников до момента, когда системы перестают отвечать.

Специалисты Gambit Security обнаружили, что объектами атак стали не только организации, чьи данные группа демонстративно публиковала. На промежуточной инфраструктуре злоумышленников идентифицированы дополнительные жертвы, связанные с Израилем и Турцией. В их числе израильская медиакомпания, высшее учебное заведение и турецкий страховой брокер, а также несколько сайтов ресторанной, культурной и новостной тематики. В этих случаях зафиксирована только эксфильтрация данных, без разрушительных действий. Детальный анализ инструментов показал использование двух основных схем выгрузки похищенного. В первом сценарии оператор сжимал интересующие файлы в многотомный RAR-архив прямо внутри взломанной сети, а затем загружал тома в корневую папку публичного веб-сайта самой организации. Оттуда данные забирались на управляющий сервер через ускоритель загрузок Axel, запущенный с обёрткой proxychains. Архив при этом делился на части по 5 гигабайт или 100 мегабайт, чтобы обойти ограничения хостинга.

Второй метод полагался на самодельное приложение на базе веб-фреймворка Flask. Скрипт на Python предоставлял несколько конечных точек: для инициализации сессии, приёма зашифрованного фрагмента, продолжения прерванной передачи и финальной сборки целого файла. Фрагменты по 10 мегабайт и целые файлы до 2 гигабайт шифровались алгоритмом AES в режиме CBC. Однако ключ и вектор инициализации пересылались в том же самом POST-запросе, что и зашифрованные данные. Такая реализация делала шифрование бесполезным при перехвате трафика. Интересной деталью стал и самодельный SSL-сертификат, выписанный злоумышленниками на вымышленную компанию Acme Cloud Solutions Inc из Сан-Франциско. При попытке обратиться к несуществующей странице приёмник перенаправлял посетителя на сайт fbi.gov, что добавляло провокационности всему инциденту.

Для сбора файлов внутри взломанной сети применялся отдельный инструмент под внутренним именем FileFiend. Это написанное на C++ приложение способно перечислять локальные диски и сетевые ресурсы, доступные по протоколу SMB, рекурсивно обходить каталоги и отправлять интересующие документы на жёстко прописанный командный сервер. Строки, оставленные в исполняемом файле, выдали путь к исходному коду на компьютере разработчика - C:\Users\casio\Desktop\uploader v3\, что может помочь в будущих атрибуциях.

Вся совокупность признаков, от инфраструктурных пересечений до уникальных утилит, однозначно связывает "хактивистов" Ababil of Minab с группировкой Black Shadow. События вокруг LA Metro и других жертв подчёркивают опасную тенденцию: даже за громкими лозунгами и маской идейных одиночек могут скрываться государственные игроки, готовые к безвозвратному уничтожению данных. Инцидент также напоминает, что злоумышленнику порой не нужны экзотические программы. Достаточно украсть учётные данные администратора и пройти по цепочке управляющих консолей, как это и было проделано в атакованных транспортных системах. Организациям критически важно не только разграничивать доступ к платформам виртуализации, но и изолировать резервные копии от основной сети, а также мониторить аномалии исходящего веб-трафика, включая внезапную активность на нестандартных портах.

IPv4

• 146.70.233.83
• 195.20.17.129
• 212.83.61.213
• 31.172.87.20
• 45.150.108.61
• 46.246.125.131
• 46.30.190.173
• 66.85.26.183
• 84.200.89.52
• 89.36.231.56
• 91.193.19.198

Domains

• feedback.nefeshhope.com
• members.nefeshhope.com
• nefeshhope.com

SHA256

• 1c699720034367ba9761a8d31c854fd444e8e3c8c31c520a39c543cf95286029
• 33a6b4900c2fbfb3c2d816947871eade800d0c0e2a2680871700fd6e640e5f20
• 38965a60835a5ee3eaefd3d0bffa97c0e4f0c5cd74d31d8053bedeea14f536ee
• 81a25357d027d0f04a43139377d5d58384b8e9b0770e699cdcc37e600641cf90
• c8cc4225d1e21324ef419adbb1c10dd0578fb034b5f5d7b8000f0aae1871c061
• d76a94309240a7e2f11a89fab54a6853628e976a5ff19084b1b0894c89e6a742
• f6db77be038980e9dbbf9f11e0f7ae7d2d4d3f1a53199958f1f55137dde5efd3

• 6a155deeaffba9a1bf3c5b63_Ababil_of_Minab_Tech_Report.pdf