美国与伊朗关系紧张,两国网络战事一触即发。有美国官员及美国网络安全公司周一(1日)透露,与伊朗有关的黑客正计划对美国重要商业机构发动网络攻击,并可能从中展开间谍活动。
據指,自6月11日起,美國指控伊朗於阿曼灣襲擊船隻時,與伊朗有關的黑客已準備向美國能源及金融企業發動攻擊,並入侵他們的網絡。而在過去兩至3個月,美國網絡安全公司Recorded Future已發現有逾1200個與伊朗有關的網絡控制域及網絡指令被註冊,當中超過700個至今依然活躍。美國國家安全局退役官員兼Recorded Future的成員莫理奇(Priscilla Moriuchi)指:「我們發現一個準備發動攻擊的狀況。」
伊朗黑客被指一直用「魚叉式網路釣魚」的方法,向目標機構的成員發電郵,以引導他們點擊連結、下載惡意程式或透露個人身份及帳戶密碼等資訊。有傳美國總統特朗普上月曾計劃襲擊伊朗,以報復伊朗在其領空擊落美國無人機。然而,特朗普最後選擇了向伊朗的情報機關及導彈系統發動網攻。
美国网络司令部今天通过推特发布警告,警告滥用Outlook漏洞的威胁演员在政府网络上植入恶意软件。
该漏洞是CVE-2017-11774,这是微软在2017年10月补丁周二修补的安全漏洞。
来自SensePost的安全研究人员发现并详细说明的Outlook错误允许威胁行为者逃离Outlook沙箱并在底层操作系统上运行恶意代码。
以前伊朗黑客使用的OUTLOOK漏洞
这个漏洞是由SensePost研究人员在2017年秋季私下报告的,但到2018年,它被伊朗国家赞助的黑客组织APT33(或Elfin)武器化,该组织 主要以开发Shamoon磁盘擦除恶意软件而闻名。
当时,在2018年12月下旬,ATP33黑客利用该漏洞在Web服务器上部署后门,后来他们将这些漏洞用于将CVE-2017-11774漏洞利用到用户的收件箱中,因此他们可以使用恶意软件感染他们的系统。
“一旦攻击者拥有合法的凭据,他们就会识别出不受多因素身份验证保护的可公开访问的Outlook Web Access(OWA)或Office 365.攻击者利用窃取的凭据和RULER等工具来提供[CVE-2017-11774]通过Exchange的合法功能,“ FireEye报告说。
利用CVE-2017-11774漏洞的攻击同时报道了有关臭名昭着的Shamoon磁盘擦除恶意软件的新发现– 这是APT33集团开发的另一种黑客工具。
当时没有证明FireEye的APT33报告和Shamoon部署之间的联系。
然而,Chronicle Security研究员Brandon Levene今天在一封电子邮件中告诉ZDNet,美国网络司令部上传的恶意软件样本似乎与Shamoon活动有关,该活动发生在2017年1月左右。
Levene表示,五个恶意软件样本中有三个是用于操纵被利用的Web服务器的工具,而另外两个是利用PowerShell加载PUPY RAT的下载程序 – 最有可能是受感染的系统。
Levene告诉ZDNet,如果对CVE-2017-11774以及这些恶意软件样本的观察结果是正确的,这可以说明APT33 / Shamoon攻击者如何能够破坏他们的目标。
当Shamoon攻击过去幸福时,Levene说,人们高度猜测涉及鱼叉式网络钓鱼,但是除了FireEye报告之外,没有关于初始感染载体的大量信息发表,而FireEye报告推测了感染载体,而不是而不是提供无可争议的证据。
增加了伊朗黑客活动
美国网络司令部的Twitter帐户不会针对以美国为目标的有经济动机的黑客机组发出警报,而只关注民族国家的对手。总而言之,美国网络司令部共享的恶意软件样本今天将该机构看到的新攻击链接到旧的APT33恶意软件样本 – 最有可能部署在针对美国实体的新攻击中。
虽然美国网络司令部尚未命名APT33,但赛门铁克发布了一份关于前几个月APT33活动增加的警告。
此外,两周前,美国国土安全部网络安全机构CISA 也发出类似警告,提醒伊朗威胁行为者增加活动,特别是关于使用磁盘擦除恶意软件,如Shamoon,APT33的主要网络武器。
除了分析袭击美国政府网络的恶意软件外,美国网络司令部还负责进攻性的网络运营。两周前,在伊朗军方击落昂贵的美国监视无人机之后,国防部发起针对伊朗火箭和导弹系统的网络攻击。随着伊朗黑客瞄准政府网络和美国的回击,你可以说这两个国家正处于一个非常沉默且非常非官方的网络战中。
Levene还指出,这是美国网络司令部首次通过其Twitter帐户共享非俄罗斯恶意软件。该机构去年秋天开始在VirusTotal上发布恶意软件样本并发布Twitter警报,认为这是一种更快的方式来传播有关正在进行的网络攻击的安全警报,并引起美国私营部门的注意。
