OilRig (APT34) - irański cyberszpieg w sektorze energetycznym
OilRig/APT34 (G0049) - profil irańskiej grupy APT atakującej sektor energetyczny Bliskiego Wschodu. DNS tunneling, credential harvesting, techniki MITRE ATT&CK.
Na liście irańskich grup cyberszpiegowskich jedno oznaczenie pojawia się częściej niż inne. OilRig - znany również jako APT34, Helix Kitten, Hazel Sandstorm, COBALT GYPSY, Evasive Serpens, Earth Simnavaz, Crambus i co najmniej pięć innych pseudonimów - to najdłużej działająca i najlepiej udokumentowana irańska grupa zagrożeń, której operacje od ponad dekady koncentrują się na jednym celu: zbieraniu informacji wywiadowczych z sektora energetycznego, rządowego i telekomunikacyjnego Bliskiego Wschodu.
MITRE ATT&CK kataloguje OilRig pod oznaczeniem G0049. Liczba technik przypisanych tej grupie - od spearphishingu, przez DNS tunneling, po nadużywanie usług Microsoft 365 - rysuje obraz podmiotu, który nie tyle stosuje wyrafinowane exploity, co systematycznie i cierpliwie eksploatuje ludzkie błędy i luki w konfiguracji.
Geneza - od 2014 roku do dziś
Pierwsze ślady aktywności OilRig datowane są na 2014 rok. Badacze z Mandiant (wówczas FireEye) i Palo Alto Networks Unit 42 niezależnie zidentyfikowali kampanie spearphishingowe wymierzone w organizacje z sektora finansowego i rządowego w Arabii Saudyjskiej, Zjednoczonych Emiratach Arabskich, Katarze, Kuwejcie i Bahrajnie.
Atrybucja do Iranu opiera się na kilku niezależnych przesłankach: wykorzystaniu irańskiej infrastruktury sieciowej, odniesieniach do irańskich nazw i konwencji w kodzie narzędzi, godzinach aktywności operatorów zbieżnych ze strefą czasową Teheranu oraz - przede wszystkim - profilowi celów, który niemal idealnie pokrywa się z priorytetami wywiadowczymi Islamskiej Republiki Iranu.
Przez ponad dekadę OilRig konsekwentnie atakował organizacje w krajach będących strategicznymi rywalami lub partnerami Iranu w regionie Zatoki Perskiej. Sektor energetyczny - ropa, gaz, petrochemia - stanowi rdzeń gospodarek tych państw i jednocześnie rdzeń zainteresowań OilRig.
Spearphishing - punkt wejścia
Niemal każda udokumentowana operacja OilRig zaczyna się tak samo: od wiadomości e-mail.
Grupa specjalizuje się w spearphishingu wysokiej jakości - starannie przygotowanych wiadomościach, dostosowanych do konkretnego odbiorcy. Załączniki to najczęściej dokumenty Microsoft Office z osadzonymi makrami lub pliki HTA (HTML Application), które po otwarciu uruchamiają kod pobierający kolejne etapy ataku.
Co wyróżnia OilRig na tle innych grup, to cierpliwość. Zanim wyślą wiadomość phishingową, prowadzą rozpoznanie - identyfikują kluczowych pracowników, ich role, relacje służbowe, aktywność w mediach społecznościowych. Wiadomość nie jest generycznym “proszę otworzyć załącznik”. Jest dopasowana do kontekstu pracy odbiorcy - dotyczy konferencji, w której uczestniczył, projektu, nad którym pracuje, lub współpracownika, od którego rzekomo pochodzi.
DNS tunneling - ukryty kanał komunikacji
Technika, która stała się znakiem rozpoznawczym OilRig, to DNS tunneling - wykorzystanie protokołu DNS jako kanału komunikacji między malware na zainfekowanym hoście a serwerem C2 (Command and Control) atakujących.
Jak to działa? Każda organizacja musi pozwalać na ruch DNS - bez niego nie działają strony internetowe, poczta, usługi chmurowe. OilRig wykorzystuje ten fakt, kodując dane wewnątrz zapytań DNS. Zainfekowany host wysyła zapytanie o domenę w stylu “abc123.evil-domain.com”, gdzie “abc123” to zaszyfrowany fragment skradzionych danych. Serwer DNS kontrolowany przez atakujących odbiera te zapytania i składa dane w całość.
Z perspektywy firewalla i systemów bezpieczeństwa wygląda to jak normalny ruch DNS. Bez dedykowanej analizy ruchu DNS - w tym inspekcji zawartości zapytań, wykrywania nietypowo długich nazw domen, analizy częstotliwości i wzorców zapytań - tunelowanie DNS jest praktycznie niewidoczne.
OilRig rozwinął tę technikę do poziomu, na którym ich backdoory DNS stały się głównym kanałem eksfiltracji danych i zdalnego sterowania. Narzędzia takie jak DNSpionage, ALMA Communicator i Karkoff wykorzystują DNS jako jedyny lub podstawowy kanał C2.
Credential harvesting - zbieranie haseł na skalę przemysłową
Drugą techniką definiującą OilRig jest systematyczne zbieranie poświadczeń (credential harvesting). Grupa wykorzystuje do tego celu:
-
Fałszywe strony logowania. OilRig tworzy wierne kopie portali logowania organizacji docelowych - systemów pocztowych, VPN, aplikacji webowych. Linki do tych stron rozsyłane są przez spearphishing.
-
Mimikatz i narzędzia pochodne. Po uzyskaniu dostępu do sieci grupa wykorzystuje Mimikatz i własne narzędzia do ekstrakcji poświadczeń z pamięci systemu operacyjnego, baz SAM i Active Directory.
-
Keyloggery. OilRig wdrażał własne keyloggery rejestrujące każde naciśnięcie klawisza na zainfekowanych stacjach roboczych.
-
Nadużywanie Microsoft 365. W nowszych kampaniach grupa eksploatowała tokeny OAuth i Exchange Web Services do uzyskiwania dostępu do skrzynek pocztowych bez konieczności znajomości hasła użytkownika.
Skradzione poświadczenia służą dwóm celom: dalszej eskalacji uprawnień wewnątrz zaatakowanej organizacji oraz atakom na organizacje powiązane (supply chain). OilRig wielokrotnie wykorzystywał dostęp do jednej organizacji jako punkt wejścia do jej dostawców, kontrahentów i partnerów.
Wyciek narzędzi - 2019
W marcu 2019 roku na Telegramie pojawiło się konto “Lab Dookhtegan”, które zaczęło publikować wewnętrzne narzędzia OilRig - kody źródłowe backdoorów, dane ofiar, infrastrukturę C2 i tożsamości domniemanych operatorów grupy. Wyciek obejmował narzędzia takie jak Glimpse (backdoor DNS), PoisonFrog (wariant DNSpionage) i HyperShell (webshell).
To było bezprecedensowe zdarzenie. Ktoś - motywowany prawdopodobnie wewnętrznymi sporami w irańskim aparacie wywiadowczym - ujawnił publicznie arsenał jednej z najważniejszych grup cyberszpiegowskich Iranu.
Paradoksalnie, wyciek nie zakończył działalności OilRig. Grupa przebudowała swój arsenał i wznowiła operacje z nowymi narzędziami, potwierdzając zasadę, że ujawnienie narzędzi spowalnia, ale nie eliminuje dobrze zorganizowanej grupy APT.
Ataki na łańcuch dostaw
OilRig nie ogranicza się do bezpośrednich ataków na cele finalne. Grupa stosuje strategię supply chain - kompromituje dostawców IT, firmy telekomunikacyjne i dostawców usług zarządzanych (MSP), wykorzystując ich infrastrukturę jako wektor ataku na klientów tych dostawców.
Ta taktyka jest szczególnie niebezpieczna w sektorze energetycznym, gdzie operatorzy infrastruktury krytycznej często polegają na zewnętrznych dostawcach systemów SCADA, integratorach i firmach serwisowych. Kompromitacja integratora systemów OT daje potencjalny dostęp do dziesiątek zakładów przemysłowych.
Techniki MITRE ATT&CK
Pełna lista technik OilRig w MITRE ATT&CK liczy kilkadziesiąt pozycji. Kluczowe to:
| Technika | ID | Kontekst |
|---|---|---|
| Spearphishing Attachment | T1566.001 | Główny wektor wejściowy - dokumenty Office z makrami |
| Application Layer Protocol: DNS | T1071.004 | DNS tunneling jako kanał C2 i eksfiltracji |
| OS Credential Dumping | T1003 | Mimikatz, LaZagne, własne narzędzia |
| Valid Accounts | T1078 | Wykorzystanie skradzionych poświadczeń |
| Supply Chain Compromise | T1195 | Ataki przez dostawców IT i telekomunikację |
| Exfiltration Over Alternative Protocol | T1048 | Eksfiltracja danych przez DNS |
Więcej o tym, jak wykorzystać framework MITRE ATT&CK do analizy zagrożeń i budowy obrony, opisujemy w przewodniku po MITRE ATT&CK.
Dlaczego OilRig jest istotny dla sektora energetycznego
OilRig to nie grupa, która atakuje okazjonalnie. To podmiot, który od ponad dekady, systematycznie i cierpliwie, zbiera informacje z sektora energetycznego Bliskiego Wschodu. Ich operacje obejmują:
- szpiegostwo przemysłowe (dane geologiczne, kontrakty, strategie cenowe),
- szpiegostwo polityczne (komunikacja dyplomatyczna, plany regulacyjne),
- przygotowanie terenu pod przyszłe operacje destrukcyjne (mapowanie sieci OT, identyfikacja krytycznych systemów).
Dla operatorów infrastruktury energetycznej - także w Europie, gdzie irańskie grupy APT rozszerzają swoje operacje - OilRig powinien być traktowany jako stałe zagrożenie, nie incydent.
Podsumowanie
OilRig/APT34 to kwintesencja irańskiego cyberszpiegostwa: cierpliwy, metodyczny, skoncentrowany na zbieraniu poświadczeń i ukrywaniu komunikacji w ruchu DNS. Grupa nie potrzebuje exploitów zero-day - jej siła polega na rozumieniu, jak ludzie pracują, jakie popełniają błędy i jak je systematycznie wykorzystywać.
Dla zespołów bezpieczeństwa kluczowe wnioski to: monitoruj ruch DNS pod kątem tunelowania, wdrażaj MFA na wszystkich usługach dostępnych z internetu, analizuj logi logowań pod kątem anomalii i traktuj każdego dostawcę z dostępem do Twojej sieci jako potencjalny wektor ataku.
Źródła
- OilRig, Group G0049 - MITRE ATT&CK
- OilRig (G0049 / APT34): TTPs, Malware & Detection Strategies - Security Scientist
- Dark Web Profile: OilRig (APT34) - SOCRadar
- OilRig Exposed: Unveiling the Tools and Techniques of APT34 - Picus Security
- APT34: The Evolution of Iran’s Cyber Espionage Tactics - NoorStream
- Leak Exposes OilRig APT Group’s Tools - BankInfoSecurity