2020年新年伊始,就在大多数人还沉浸在节日气氛当中,又一次重大地缘政治事件突然袭来——伊朗少将卡西姆·苏莱马尼遭特朗普政府暗杀。消息曝出,美伊两国局势旋即紧张,很多人甚至担心两国之间可能爆发全面战争。

尽管特朗普领导下的美国拥有无可匹敌的尖端武器装备,但伊朗的真正威胁很可能体现在网络领域。过去几年中,众多拥有国家支持的APT组织已经通过一系列行动,证明了这种数字时代全新力量形态的巨大能量。

克兰菲尔德大学网络安全运营高级讲师邓肯·霍奇斯(Duncan Hodges)博士表示,“事实证明,伊朗在网络空间确实拥有强大的进攻能力。近年来,伊朗在依靠第三方组织与支持性黑客集团实施攻击之外,也一直在有针对性地提升自身的网络军事力量。”

网络安全公司Cybereason首席安全官Sam Curry也补充道,“伊朗的报复行动很可能包含网络攻击。很明显,伊朗绝对不会放弃在网络层面进攻美国及其他国家的可能性。”

 “事实上,伊朗是一位聪明的网络敌手,每天都在无数次试探我们的系统。这是一场终极版本的猫鼠游戏,考虑到目前紧张局势背景,网络安全态势很可能受到深远的影响。”

APT组织:伊朗支持下的网络攻击前线部队

伊朗网络威胁能力的主体是各个APT组织,这些小组负责在无需授权的前提下悄然夺取计算机网络访问权,保持长期驻留,进而执行数据收集乃至其它更为复杂、甚至是破坏性的工作。

伊朗本身曾经多次遭遇APT攻击侵扰,最知名的案例当数“震网”蠕虫病毒。目前业内普遍认为该病毒由美国与以色列联手开发,并在2010年对伊朗的核设施造成重大破坏。

自“震网”事件之后,伊朗开始着力发展自身的APT能力,并对包括电网在内的一系列美国关键基础设施发动攻击。下面,我们将一同了解目前伊朗控制下的各知名APT组织。

APT33

又名Elfin Team、Refined Kitten、Magnallium以及Holmium,据悉成立于2013年。

该集团此前曾对美国、韩国以及沙特阿拉伯等目标发动多轮攻击,主要针对航空航天、国防以及石化行业的相关组织。去年APT33曾对多家沙特企业发动大规模打击,引发媒体高度关注。

APT33在攻击中使用多种恶意软件工具,而且明显倾向于使用能够擦除硬盘内容或者在系统中安装后门程序的攻击方案。此外,APT33也尝试进行过大量鱼叉式钓鱼攻击,还先后注册多个令人难辨真伪的知名企业域名,包括波音公司、诺斯罗普·格鲁曼公司等。

APT34

又名OilRig以及HelixKitten。APT34被视为伊朗政府支持下知名度最高的APT集团之一。

自2014年被发现以来,APT34一直相对活跃,先后对阿拉伯联合酋长国、约旦以及巴林等多个国家的关键基础设施发动一系列攻击。针对目标具体包括机场、安全机构、能源供应商以及政府部门等。

APT34利用多种黑客工具进行网络渗透,包括各类恶意软件及网络钓鱼工具。他们的目标主要是通过记录键盘输入内容、转储登录凭证以及自动收集登录信息等方式获取内部访问权限。

不过,APT34在2019年遭受重大打击,大量与该集团领导者相关的信息通过Telegram被公之于众。泄露内容包括10位成员的详细个人信息,其中3人为伊朗情报部工作,其他7人则供职于伊朗网络安全公司Rahacorp。

APT39

APT39于2018年末被首次发现,但据信其攻击活动可以追溯到2014年。由于专注于窃取个人信息,因此行业认为APT39可能属于专门的网络间谍组织。

APT39主要针对电信行业,以及与旅游及IT业务相关的支持性高科技行业。APT39的攻击重点为美国、土耳其、西班牙、埃及、伊拉克、阿联酋以及沙特阿拉伯的企业。

人们普遍认为,该组织主要利用现成黑客工具对关键人物进行跟踪与监视。正因为如此,专家们认为APT39很可能在为伊朗政府开展有针对性的间谍活动。

Charming Kitten

又名APT35、Phosphorus、Ajax Security以及NewsBeef。Charming Kitten使用的攻击技术虽然相对简单,但仍是伊朗最受瞩目的APT集团之一。

APT35自2014年起一直保持活跃,先后利用零日漏洞、恶意软件、鱼叉式钓鱼以及社会工程等手段,从政府机构以及从事技术、军事以及外交工作的企业处窃取数据。APT35的攻击目标大多位于美国、以色列以及英国。

来看具体事例:Charming Kitten曾被指控对参与伊朗核协议的个人展开渗透,监视某不知名总统竞选活动,并试图从记者、政府官员以及生活在国外的伊朗人处窃取信息。

该集团还与HBO黑客入侵事件有关,并导致尚未播出的《权力的游戏》剧本提前泄露。

Cleaver

Cleaver于2014年被首次发现,因负责Cleaver行动而得名。Cleaver行动由Cylance在2012年曝光,由多方组织协同执行,而且目前可能仍在进行当中。

Cleaver的目标群体为位于美国、以色列、中国、印度、法国、英国以及沙特阿拉伯等16个国家/地区的组织,受害者包括军事组织、航空航天企业以及能源业巨头等。

Cleaver的攻击目标似乎主要集中在数据盗窃方面,具体手段包括伪造LinkedIn个人资料并借此传播恶意软件。

虽然伊朗政府已正式否认曾参与Cleaver行动,但Cleaver与伊斯兰革命卫队确实有所关联。

CopyKittens

作为伊朗的另一支APT力量,CopyKittens同样专注于间谍活动。该集团于2015年被首次发现,而且据信早在2013年就已经开始从事相关活动。

该组织一直利用多种现成及自定义恶意软件入侵目标系统、窃取并加密锁定数据,主要攻击位于美国、约旦、土耳其、以色列、沙特阿拉伯以及德国等地的战略目标。CopyKittens主要针对政府部门、学术机构以及国防与IT企业。

CopyKittens因“Wilted Tulip”行动这一针对政府组织的广泛网络间谍入侵而声名大噪。

Leafminer

该组织据信自2017年起开始活动,同样以间谍渗透为主,但主要针对中东地区的各类目标。

Leafminer的打击目标包括石化、电信、金融、航运与航空以及政府机构等多个领域,活动重点集中在沙特阿拉伯、黎巴嫩、以色列以及科威特等国家。

根据调查,该集团主要使用自定义以及多种现成恶意软件与漏洞组合,获取对目标计算机的长期访问能力并窃取内部数据。

MuddyWater

MuddyWater属于自2017年以来一直相当活跃的网络间谍组织,最初主要针对中东地区,特别是沙特阿拉伯、黎巴嫩以及阿曼等国。但最近一段时间,他们开始将攻击范围扩大到欧洲及北美多地。

MuddyWater主要执行数据盗窃活动,打击对象包括政府部门、电信以及石油行业,同时也曾入侵加密货币交易所。

该集团也被称为TEMP.Zagros以及Seedworm。

本文由安全内参翻译自Verdict

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。