Раскрыт очередной секрет иранской организации АРТ
Не позднее, как в марте нынешнего года, во всемирную паутину попал новый инструмент, используемый славноизвестной иранской группой Oilrig. Эти кадры известны под разными именами:
кибершпионская группировка АРТ 34;
Helix Kitten;
Oilrig.
Какое бы название ни использовала группировка, смысл ее деятельности один: хакерское воздействие на объекты национальной безопасности. Данные были опубликованы неким Lab Dookhtegan в социальной сети Телеграмм. В Сети пользователь поделился данными о жертвах компьютерных мошенников, рассказал об участниках, связанных с группировкой. По информации Lab Dookhtegan, представители хакерской организации находились среди сотрудников Министерства информации и в недрах нацбезопасности Ирана.
Пользователь продемонстрировал расшифрованные начальные кодировки 6 инструментов. Их подлинность подтвердили несколько инстанций:
компетентные ИБ-специалисты;
представители компании Chronicle;
структурные организации интернет-безопасности Alphabet – холдинг.
В данной ситуации Lab Dookhtegan наглядно продемонстрировал в телеграмм-канале очередной инструмент, имеющий непосредственное отношение к АРТ-34. Это была утилита Jason, которая моментально попала под пристальное внимание компетентных специалистов.
Minerva Labs также проанализировала предоставленную информацию и вынесла вердикт: ничего хакерского и опасного для пользователей в дампе нет. По их мнению, Jason является рядовым инструментарием брутсофта для Microsoft Exchange, обладающим GUI. Он работает по заранее запрограммированному перечню комбинаций логинов и определенных паролей. Выходит, что специалисты не находят данный инструмент опасным или способным вредить другим пользователям.
Существует еще одно мнение, предоставленное VirusTotal: конкретный инструмент был видоизменен еще 4 года назад, в 2015, и активно использовался в различных операциях АРТ-34. Занимательно, что в то время, когда была опубликована утилита Jason, ее не могло зафиксировать никакое защитное средство. Это удивило специалистов, потому что предыдущие инструменты (а их было не много, ни мало – шесть) уже были знакомы ИБ-специалистам, но последняя публикация вызвала немалый резонанс. Jason не был известен компетентным участникам данного процесса, чем вызвал сложности в своем «разоблачении».
