Ansar Group. Is a new APT born?

In the current cyberspace, a new Iranian state-sponsored hacker group has been identified.

The operation was performed by the Labdookhtegan hacking group, already known for leaking tools used by APT34.

All started with the discovering of an Iranian hacking team named “Ashiyane”. Their members have a close cooperation with the Islamic Republic and helped in the recent years indentifying Iranian citizens who participated in the national protests.
Several members have been identified: one of them is “sir shahroukh“, who is also CEO of the company “Pishgaman-e dad-e-tala-ei haraz” and he has close ties with the Islamic Revolutionary Guard Corps.
Another member is “satanic2000”, who was already known in 2013 with the Stars Hacking Team for collaborating to the written of Joomla exploit, which used the Arbitrary File Upload Vulnerability.

Joomla exploit

Thank to Labdookhtegan group operation, satanic2000‘s server has been hacked. In the compromised server, evidence of the plots of the former members of Ashiyane, in cooperation with the regime, were discovered.

satan2000 hacked server

The stolen information clearly expose that he works for the Islamic Republic of Iran and that he is a member of the hacking and security group Ansar, a group that is responsible for a cyber attack against Aramco (multinational petroleum and natural gas company) in Saudi Arabia.
The goals of hacking this company are about including getting access to this company’s scientists, getting access to its oil contracts, methods to infiltrate this oil company, actions for gathering information, carrying out social engineering against the company, etc. (here the translated document)

The following Ansar Group presentations: “Operations Report for the Persian Year 1398“, “Review of the annual report for the year 1397” and Annual report for the year 1398” have been leaked and they show military projects, telecommunication projects, energy projects and planning and developing malware.
Furthermore, in these slides Social Engineering attacks are shown and they aim to steal private information and use them for its illegal activities, started in March 2018.

Following the translated summary post that describes some of their activities:

1. Hacking hotels in Turkey, Georgia, Armenia, and access to the hotel reservations to follow our innocent compatriots outside the country (here the translated document).

2. Hacking websites for searching our compatriots according to their mobile phone numbers.

3. Hacking websites in Saudi Arabia and Jordan.

4. Hacking important companies in Arab countries.

5. Hacking infrastructures in Arab countries, Israel and Turkey.

6. Hacking oil fields and airports in the region.

7. Hacking the website on sanctioning medicine in order to influence the public opnion and to mislead them and to divert the responsibility for the medicine crisis from this desperate regime.

8. Sending out fake emails in order to attack the computers of compatriots in the region and steal their information.

9. Hacking news websites in Iraq in order to publish fake news and influence the public opinion in Iraq, even if that hurts the national interests of an ally country such as Iraq.

Other detected malicious activities are: hacking the office for medical services of Saudi Arabia’s army forces that belongs to Saudi Arabia’s ministry of defense, stealing information about Saudi military personnel and using them for their own purposes.

The Ansar Group also attacked the satellite company Thuraya that belongs to the company “Yahsat” which provides telecommunications coverage in more than 161 countries in Europe, the Middle East, North, Central and East Africa, Asia and Australia.
This hack provides this group the capabilities for stealing customers’ information, locating, intercepting and monitoring millions of civilians.

What has been said so far is only a small part of all the Labdookhtegan hacking operations that are underway, therefore surely there will be updates.

So, is it possible to define Ansar Group as a new APT?

In the end…Italians pay attention!
It should not be forgotten that the Labdookhtegan operation started with Ashiyane hacking team.
From quickly research, it come out the last attacks performed by a member of this group, “Milad Hacking“, defaced the following webistes.
As you can notice, all those webistes are Italians.

Last MiladHacking defaced websites

Quanto la guerra USA – Iran fa paura alla sicurezza informatica

In seguito all’assassinio del generale Qassem Soleimani provocato da un attacco americano a Baghdad, si è sollevato lo spettro di una cosiddetta “guerra cibernetica” tra Iran e Stati Uniti. L’avvertimento del Dipartimento di Sicurezza Nazionale americano sostiene che l’Iran possieda la capacità di poter minacciare le infrastrutture critiche delle nazioni alleate, suggerendo alle aziende di diffidare delle e-mail sospette e di utilizzare l’autenticazione a due fattori.
La vera paura si identifica in un attacco al sistema di controllo industriale (ICS), in quanto è lì che potrebbe generarsi una vera minaccia per la vita umana.

In breve, l’Iran ha dei veri e propri poteri di hacking, ma resta da vedere esattamente cosa è capace e cosa è disposto a fare.
Nonostante gli attacchi informatici provenienti dall’Iran ci siano sempre stati, la tensione tra Stati Uniti e Iran è aumentata, dobbiamo quindi proteggerci da possibili attacchi, ma questa non è certo una novità.

I maggiori attacchi informatici attribuibili all’Iran

Nel 2012 l’Arabia Saudita irrompe bruscamente nel mondo degli attacchi informatici. Il virus Shamoon infetta i computer della società petrolchimica nazionale dell’Arabia Saudita “Saudi Aramco”. I criminali informatici, dopo aver ingannato un funzionario con una mail di spear phishing sono stati in grado di accedere ai sistemi informatici scatenando uno dei più costosi attacchi informatici della storia. Il 75% dei computer della società petrolchimica nazionale dell’Arabia Saudita hanno subito la cancellazione totale dei dati, causando enormi danni finanziari.
L’attacco è stato attribuito ad un gruppo, sostenuto dall’Iran, chiamato “Cutting Sword of Justice”; di seguito il manifesto pubblicato su Pastebin.

Nel novembre 2016, i computer del governo saudita si sono spenti e i dischi rigidi distrutti. Lo stesso attacco ha colpito due settimane dopo altri obiettivi in Arabia Saudita, infettati dal medesimo malware “Shamoon” in una versione aggiornata.

Il 23 gennaio 2017, una seconda società petrolchimica, la “Sadara Chemical Company” e la “National Industrialization Company” sono state entrambe attaccate con il virus informatico Shamoon. Successivamente, nell’agosto del 2017 un altro malware ha attaccato un’azienda petrolchimica, quest’ultimo diverso e molto più pericoloso, in grado di provocare l’esplosione dell’impianto petrolchimico fortunatamente fallito a causa di un bug nel codice del malware.

Nel 2018 si registrano diversi attacchi a organizzazioni governative, società private e banche, le cui conseguenze sono state il furto di dettagli personali di alcuni dirigenti del Regno Unito, e la compromissione di account di molteplici università con lo scopo di estrapolare informazioni e progetti utili allo Stato iraniano.
Le università maggiormente colpite furono quelle con sede negli Stati Uniti, che hanno incriminato il “Mabna Institute” e nove cittadini iraniani in relazione all’attività del gruppo informatico criminale COBALT DICKENS.
Nel mese di Dicembre un nuovo attacco avviene ai danni di un’azienda petrolchimica italiana “Saipem”, la quale opera in territorio saudita avendo come maggior cliente la società “Saudi Aramco”, anche questa volta con una nuova variante del noto malware “Shamoon”.

Nel 2019 gli hacker iraniani aumentano i loro attacchi colpendo organizzazioni vicine agli Stati Uniti e il dipartimento della sicurezza interna dichiara un aumento di attività informatiche dannose dirette alle industrie e alle agenzie governative mediante l’utilizzo di piccole botnet per mirare allo spionaggio di organizzazioni militari e accademiche.
Negli ultimi mesi è stato possibile notare come il “vecchio” malware Shamoon si sia evoluto con il nome di ZeroCleare e successivamente DUSTMAN compromettendo l’azienda petrolifera nazionale del Bahrain “Bapco”. Quest’ultimi malware si dimostrano essere sempre più distruttivi e performanti. Negli ultimi giorni altri gruppi criminali continuano in questi giorni con il defacement di siti internet governi o aziende vicine agli Stati Uniti, come accaduto al sito internet della Sierra Leone Commerical Bank.

Attori

Attacchi come questi hanno avuto spesso lo scopo di ostacolare gli obiettivi del principe ereditario Mohammed bin Salman di riformare il settore privato saudita, di paralizzare l’economia saudita ma soprattutto indebolire gli Stati che collaborano con gli Stati Uniti d’America.
Attualmente in Iran APT33 e APT34 sono i due maggiori gruppi degni di nota.

APT33 (Refined Kitten/Magnallium/Holmium) divenuto attivo alla fine del 2015 concentra la maggior parte dei suoi attacchi contro l’Arabia Saudita. Eseguono dettagliate scansioni e identificano gli obiettivi vulnerabili praticamente in ogni settore con il fine di comprometterli. Sono noti per l’uso di tecniche di spear phishing per rubare informazioni, password spray e sfruttamento di vulnerabilità note di programmi come Outlook o WinRAR. Il gruppo è diventato famoso nel 2018 per i loro legami con l’ultima ondata di attacchi di Shamoon, è noto per l’utilizzo di una varietà di malware personalizzati, script di Github e tool open-source. I loro attacchi si svolgono solitamente con il phishing e poi con l’esecuzione di una backdoor, che permette al gruppo criminale di installare programmi sulla macchina infetta. APT33 è stata collegata all’Iran attraverso il Centro di sicurezza Kavosh e l’Istituto Nasr, che hanno sede a Teheran e sono collegati al governo iraniano.

APT34 (OILRIG/Muddywater/Helix/Seedworm) attivo da almeno il 2014 ha minacciato di uccidere i ricercatori della sicurezza che stavano indagando su un server compromesso (in seguito rivelato infrastruttura di comando e controllo) oltre a impegnarsi in campagne di spear phishing contro i governi del sud-est asiatico e dell’Asia centrale gestisce un programma di furto di password. Essi utilizzano anche software maligni open-source con piccole personalizzazioni per essere flessibili e adattare rapidamente alle loro operazioni.

In questa coorte di hacker che continua ad attaccare l’Arabia Saudita, sono presenti anche i ribelli “Houthi” aiutati dagli agenti iraniani a dominare il cyberspazio nella guerra civile yemenita.
Questo aiuto permette alla milizia Houthi di comandare il principale fornitore di servizi Internet del Paese, di mettere a tacere il dissenso online, di promuovere la disinformazione, di modificare i siti web governativi e di fare soldi con le valute criptate. Questo gruppo di ribelli ha paralizzato alcuni esperti umanitari e hanno reso più facile il riciclaggio di denaro sporco grazie all’accessibilità delle miniere di crittografia.

Per rafforzare la cyber-difesa dell’Arabia Saudita, il re Salman e il principe ereditario Mohammad ha fondato la National Cybersecurity Authority (NCA) e il National Cyber Security Center (NCSC) il 31 ottobre 2017. La fondazione della NCA ha contribuito a dare priorità alla sicurezza informatica sia nel settore pubblico che in quello privato dell’Arabia Saudita attraverso la consapevolezza delle minacce informatiche e la necessità di rispondere agli attacchi informatici. Questo è stato possibile mediante l’utilizzo di bot per influenzare i social media e l’acquisto di software di spionaggio dalla società italiana Hacking Team o su forum utilizzati da hacker.

Creando un’infrastruttura informatica nazionale, di comunicazione sicura e affidabile, a sviluppare un gruppo capace di professionisti della sicurezza informatica l’Arabia Saudita è ora al 13° posto nel mondo nell’indice globale della sicurezza informatica, guadagnando 33° posizioni rispetto al 2016.