安全動(dòng)態(tài)

伊朗鐵路系統(tǒng)遭黑的幕后組織曝光:原來(lái)是一個(gè)“小毛賊”

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2021-08-16    瀏覽次數(shù):
 

信息來(lái)源:安全內(nèi)參


上個(gè)月即7月9日對(duì)伊朗鐵路系統(tǒng)的網(wǎng)絡(luò)攻擊造成大范圍混亂,數(shù)百列火車延誤或取消時(shí),人們自然地指攻擊者向與德黑蘭長(zhǎng)期處于幽靈戰(zhàn)爭(zhēng)中的以色列。因?yàn)榻陙?lái),伊朗及其核計(jì)劃一直是一系列網(wǎng)絡(luò)攻擊的目標(biāo),其中包括2009-2010年由以色列和美國(guó)領(lǐng)導(dǎo)的針對(duì)鈾濃縮設(shè)施的著名的震網(wǎng)攻擊事件。

反過(guò)來(lái),德黑蘭在過(guò)去十年中被指控入侵其他政府、網(wǎng)絡(luò)安全公司和網(wǎng)站。在一個(gè)案例中,美國(guó)指控經(jīng)常為伊朗伊斯蘭革命衛(wèi)隊(duì)工作的計(jì)算機(jī)科學(xué)家對(duì)數(shù)十家美國(guó)銀行進(jìn)行網(wǎng)絡(luò)攻擊并試圖控制它們。比如紐約郊區(qū)的一座小水壩。

全球頂級(jí)網(wǎng)絡(luò)安全公司 Check Point Software Technologies 的一項(xiàng)新調(diào)查得出結(jié)論,一個(gè)反對(duì)伊朗政府的神秘組織很可能是這次黑客攻擊的幕后黑手。這與之前由國(guó)家實(shí)體發(fā)起的許多網(wǎng)絡(luò)攻擊形成鮮明對(duì)比。該團(tuán)體被稱為 Indra(因陀羅),以印度神話中的戰(zhàn)神命名。

《紐約時(shí)報(bào)》研讀了該公司的報(bào)告,稱這次攻擊是一個(gè)警告:沒(méi)有預(yù)算、沒(méi)有政府人員或能力的反對(duì)派團(tuán)體仍然可能造成重大損失。

Check Point 高級(jí)研究員 Itay Cohen 說(shuō):“我們已經(jīng)看到許多與專業(yè)或軍事情報(bào)部門有關(guān)的網(wǎng)絡(luò)攻擊?!?“但這里似乎是另一回事?!?

Checkpoint在其分析報(bào)告中稱,針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件容易使人立即想到的是民族國(guó)家層面的行為體所為。雖然大多數(shù)針對(duì)一個(gè)國(guó)家敏感網(wǎng)絡(luò)的攻擊確實(shí)是其他政府所為,但事實(shí)是,沒(méi)有什么魔法盾牌可以阻止一個(gè)非國(guó)家支持的實(shí)體制造同樣的破壞。

Checkpoint的報(bào)告分析了伊朗鐵路系統(tǒng)遭網(wǎng)絡(luò)攻擊的政治動(dòng)機(jī)攻擊,該攻擊被懷疑是由非國(guó)家支持的行為體發(fā)動(dòng)的。這次襲擊恰好是針對(duì)伊朗的,但它也很可能發(fā)生在紐約或柏林。分析過(guò)程著眼于一些技術(shù)細(xì)節(jié),并揭露這次攻擊的幕后主使,從而將其與早些年其他幾次出于政治動(dòng)機(jī)的襲擊聯(lián)系起來(lái)。

Checkpoiont研究的重要發(fā)現(xiàn)

2021年7月9日和10日,伊朗鐵路和道路和城市發(fā)展部系統(tǒng)成為了有針對(duì)性的網(wǎng)絡(luò)攻擊的對(duì)象。Check Point Research對(duì)這些攻擊進(jìn)行了調(diào)查,發(fā)現(xiàn)多項(xiàng)證據(jù)表明,這些攻擊嚴(yán)重依賴于攻擊者之前對(duì)目標(biāo)網(wǎng)絡(luò)的了解和偵察。

針對(duì)伊朗的網(wǎng)絡(luò)攻擊被發(fā)現(xiàn)在戰(zhàn)術(shù)和技術(shù)上與此前針對(duì)敘利亞多家私營(yíng)公司的活動(dòng)相似,至少自2019年以來(lái)一直在進(jìn)行。將這次行動(dòng)與一個(gè)自稱為反對(duì)派組織的威脅組織聯(lián)系了起來(lái),這個(gè)組織叫Indra(因陀羅)。

這些年來(lái),攻擊者在受害者的網(wǎng)絡(luò)中開發(fā)并部署了至少3種不同版本的“擦除器”惡意軟件,分別是Meteor、Stardust和Comet。從這些工具的質(zhì)量、它們的操作方式以及它們?cè)谏缃幻襟w上的存在來(lái)判斷,Checkpoint發(fā)現(xiàn)因陀羅不太可能是由一個(gè)民族國(guó)家行為體操作的。

Checkpoint的分析報(bào)告詳細(xì)描述了對(duì)工具以及底層參與者使用的TTP的技術(shù)分析。并與公眾分享Yara規(guī)則和妥協(xié)指標(biāo)的完整列表。

從這個(gè)Indra組織有有關(guān)文件來(lái)追蹤的過(guò)程,比如惡意軟件的執(zhí)行過(guò)程,擦除器的主要功能、主要配置、配置的步驟、這一惡意軟件的升級(jí)演進(jìn)、與伊朗最近遭遇攻擊事件的關(guān)聯(lián)、早期對(duì)敘利亞網(wǎng)絡(luò)的攻擊關(guān)聯(lián)等詳細(xì)信息,以及披露的IoCs、YARA規(guī)則等,可參閱Checkpoint的詳細(xì)分析報(bào)告。

在《伊朗鐵路系統(tǒng)網(wǎng)絡(luò)攻擊元兇初現(xiàn)端倪》一文中,SentinelOne的安全研究人員偶然發(fā)現(xiàn)了一種迄今未知的數(shù)據(jù)清除惡意軟件,它可能是本月早些時(shí)候針對(duì)伊朗鐵路系統(tǒng)的破壞性網(wǎng)絡(luò)攻擊的一部分。SentinelLabs的研究人員能夠重建攻擊鏈的大部分,其中包括一個(gè)有趣的從未見(jiàn)過(guò)的擦除器軟件。當(dāng)時(shí)SentinelLabs還無(wú)法將攻擊活動(dòng)與先前確認(rèn)的威脅組織聯(lián)系起來(lái),也無(wú)法將其與其他襲擊聯(lián)系起來(lái)。聲稱這個(gè)擦除器是在過(guò)去三年開發(fā)的,是為重用而設(shè)計(jì)的。為了鼓勵(lì)進(jìn)一步發(fā)現(xiàn)這一新的威脅行為者,研究人員共享了攻擊指標(biāo),鼓勵(lì)其他安全研究人員共同探尋真相。

認(rèn)識(shí)因陀羅

Checkpoint的仔細(xì)研究不僅揭示了攻擊的目標(biāo),還揭示了這些行動(dòng)背后的組織的身份——一個(gè)以印度戰(zhàn)神“因陀羅”(Indra)命名的組織。事實(shí)上,因陀羅并沒(méi)有試圖隱瞞他們對(duì)這些行動(dòng)負(fù)有責(zé)任,并在多個(gè)地方留下了他們的簽名。

攻擊者在受害者被鎖定的電腦上顯示的圖像宣布“我是因陀羅”,并承認(rèn)對(duì)卡特吉集團(tuán)的攻擊負(fù)責(zé)。

因陀羅在受害者機(jī)器上設(shè)置的壁紙,聲稱對(duì)攻擊負(fù)責(zé),并指責(zé)卡特吉集團(tuán)“支持恐怖分子”和“出賣靈魂”。

(因陀羅對(duì)其部署“彗星”(Comet)的攻擊負(fù)責(zé))

此外,除Meteor外,擦除器的所有樣本都包含多次出現(xiàn)的字符串“INDRA”。Comet變體使用它作為新創(chuàng)建的Administrator帳戶的用戶名。但在Stardust上,它是一種惰性的神器,不參與執(zhí)行。

(Stardust惡意程序內(nèi)的Indra字符)

研究人員想知道這個(gè)因陀羅攻擊組織是否在網(wǎng)上出現(xiàn)過(guò),事實(shí)上,他們有。他們?cè)诓煌钠脚_(tái)上運(yùn)營(yíng)多個(gè)社交網(wǎng)絡(luò)賬戶,包括Twitter、Facebook、Telegram和Youtube。除其他信息外,這些賬戶還披露了對(duì)上述公司的攻擊:

(Indra組織的推特賬號(hào)承認(rèn)對(duì)Arfada的攻擊負(fù)責(zé))

調(diào)查這些社交網(wǎng)絡(luò)活動(dòng),人們可以了解該組織的政治意識(shí)形態(tài)和攻擊動(dòng)機(jī),甚至可以了解該組織之前的一些行動(dòng)。

因陀羅的官方twitter帳戶狀態(tài)的標(biāo)題,“旨在將停止的恐怖QF及其兇殘的地區(qū)代理”,他們宣稱自己是非常專注于攻擊不同的涉嫌與伊朗政權(quán)合作的公司,特別是與“圣城軍”和真主黨。他們的帖子都是用英語(yǔ)或阿拉伯語(yǔ)寫的(這兩種語(yǔ)言似乎都不是他們的母語(yǔ)),多數(shù)都是反對(duì)恐怖主義,或提供遭到該組織攻擊的不同公司的文件泄露,這些公司被懷疑與伊朗Quads部隊(duì)有關(guān)聯(lián)。

在2019年9月發(fā)布的第一條信息中,INDRA聲稱成功攻擊了Alfadelex公司,摧毀了他們的網(wǎng)絡(luò),并泄露了客戶和員工的數(shù)據(jù)。

部分照片被張貼分布,一個(gè)人坐在電腦前觀看圖像時(shí)研究人員發(fā)現(xiàn)Comet在他們所使用的屏幕(一個(gè)只能想象他們?nèi)绾胃杏X(jué)在那一刻)。另一張顯示在alfadlex網(wǎng)站上的圖片,與研究發(fā)現(xiàn)的用于攻擊alfadlex、Katerji和Arfada的其他圖片背景相同。

這張背景圖片也出現(xiàn)在因陀羅Twitter和Facebook賬戶的封面照片上。

(因陀羅的推特賬戶上發(fā)布了攻擊Alfadelex的截圖)

(被感染的電腦顯示了研究人員發(fā)現(xiàn)的攻擊Alfadelex的照片)

因陀羅之前的攻擊活動(dòng)

總結(jié)因陀羅的社交網(wǎng)絡(luò)活動(dòng),行動(dòng)者聲稱對(duì)以下攻擊負(fù)責(zé):

2019年9月:位于敘利亞的貨幣兌換和轉(zhuǎn)賬服務(wù)公司Alfadelex Trading遭遇攻擊。

2020年1月:敘利亞私營(yíng)航空公司占翼航空(Cham Wings Airlines)遭遇攻擊。

2020年2月和2020年4月:接管Afrada和Katerji集團(tuán)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。這兩家公司也都位于敘利亞。

2020年11月:Indra威脅要攻擊敘利亞巴尼亞斯煉油廠,但尚不清楚是否實(shí)施了威脅。

2020年11月左右,因陀羅的所有賬戶都陷入了沉默。在這次行動(dòng)之前研究人員沒(méi)有找到任何其他行動(dòng)的證據(jù)。

因陀羅和伊朗遭黑事件的關(guān)聯(lián)

2019年和2020年針對(duì)敘利亞目標(biāo)的一系列攻擊,與針對(duì)伊朗網(wǎng)絡(luò)的行動(dòng)有很多相似之處。這些都是類似的工具,戰(zhàn)術(shù),技術(shù)和程序(TTP),以及攻擊的高度針對(duì)性,他們讓研究人員相信,因陀羅也要為最近在伊朗的攻擊負(fù)責(zé)。

這些攻擊都是針對(duì)與伊朗有關(guān)的目標(biāo),無(wú)論是2021年的伊朗鐵路和伊朗公路部,還是2020年和2019年的卡特吉、Arfada、Alfadelex和其他敘利亞公司。因陀羅的推文和帖子清楚地表明,他們的目標(biāo)是他們認(rèn)為與伊朗有聯(lián)系的實(shí)體。

Checkpoint分析的所有攻擊中的多層執(zhí)行流程——包括最近針對(duì)伊朗目標(biāo)的攻擊——使用腳本文件和歸檔文件作為傳遞的方式。這些腳本本身,盡管它們是不同的文件類型,但具有幾乎相同的功能。

執(zhí)行流程依賴于之前對(duì)目標(biāo)網(wǎng)絡(luò)的訪問(wèn)和偵察信息。在入侵伊朗目標(biāo)的場(chǎng)景下,攻擊者清楚地知道,為了公開傳遞信息,他們需要不影響哪些機(jī)器;此外,他們還可以訪問(wèn)鐵路的Active Directory服務(wù)器,用來(lái)分發(fā)惡意文件。因陀羅進(jìn)行偵察的另一個(gè)跡象是他們從Alfadelex的網(wǎng)絡(luò)攝像頭上截取的截圖,顯示辦公室內(nèi)有一臺(tái)受感染的電腦。

擦除器是部署在上述所有攻擊中受害者計(jì)算機(jī)上的最后有效載荷。流星、星塵和彗星是相同有效載荷的不同版本,沒(méi)有跡象表明該工具曾被其他威脅行為者使用過(guò)。

研究人員分析的攻擊背后的行動(dòng)者并沒(méi)有試圖對(duì)他們的攻擊保密。他們分享信息并展示了宣布攻擊的圖片。在針對(duì)伊朗目標(biāo)的攻擊中,這些信息不僅顯示在受影響的電腦上,還顯示在平臺(tái)板上。

與之前的行動(dòng)不同,Indra沒(méi)有公開承認(rèn)對(duì)伊朗的攻擊負(fù)責(zé)。這可能可以用新攻擊的嚴(yán)重性以及它們的影響來(lái)解釋。針對(duì)敘利亞攻擊,具體目標(biāo)是私營(yíng)公司,而針對(duì)伊朗鐵路和公路和城市化部的攻擊針對(duì)的是伊朗官方實(shí)體。此外,敘利亞的攻擊幾乎沒(méi)有得到媒體的關(guān)注,而針對(duì)伊朗政府的攻擊卻在世界各地被廣泛報(bào)道,據(jù)報(bào)道給伊朗人帶來(lái)了一些悲傷。

結(jié)論

通過(guò)對(duì)這次針對(duì)伊朗的最新攻擊進(jìn)行分析,研究人員能夠揭示其復(fù)雜的執(zhí)行流程,以及最終“擦除器”組件的另外兩種變體。這些工具此前曾被用于攻擊敘利亞公司,威脅行動(dòng)者因陀羅在其社交媒體賬戶上正式表示對(duì)此負(fù)責(zé)。雖然因陀羅選擇不為最近針對(duì)伊朗的攻擊負(fù)責(zé),但上述相似之處暴露了兩者之間的聯(lián)系。從這次事件中可以吸取兩個(gè)教訓(xùn)。

首先,匿名是一條單行道。一旦你為了公關(guān)和在Twitter上獲得一些贊而犧牲了它,就不那么容易恢復(fù)了。你可以停止向全世界廣播你的行動(dòng),你可能認(rèn)為你已經(jīng)在雷達(dá)下,但互聯(lián)網(wǎng)記住,并給予足夠的動(dòng)機(jī),它會(huì)去匿名你,即使你是一個(gè)壞蛋黑客激進(jìn)分子威脅演員。

其次,應(yīng)該更加擔(dān)心那些完全有可能發(fā)生、但根據(jù)普遍共識(shí)“顯然不會(huì)發(fā)生”的攻擊。盡管網(wǎng)絡(luò)犯罪、黑客行動(dòng)主義、民族國(guó)家干預(yù)等等造成了諸多麻煩,但總體而言,攻擊的程度和復(fù)雜性仍只是其全部潛力的一小部分;通常情況下,威脅行為者不會(huì)做X, Y, Z,即使他們完全可以。

像這樣的情況,所謂的威脅行動(dòng)者繼續(xù)做X, Y, Z,應(yīng)該會(huì)提高公眾的集體焦慮水平。正如在報(bào)告開頭所述,這次攻擊發(fā)生在伊朗,但下個(gè)月,其他一些組織可能會(huì)對(duì)紐約發(fā)動(dòng)類似的攻擊,下個(gè)月又會(huì)對(duì)柏林發(fā)動(dòng)攻擊。沒(méi)有什么能阻止它,除了威脅行動(dòng)者有限的耐心、動(dòng)機(jī)和資源,正如剛才清楚地看到的,這些有時(shí)畢竟不是那么有限。

最后,真正讓人們后怕的是,就這樣一個(gè)能力水平一般的“小毛賊”,也能干成讓全球震驚的大事情。對(duì)付不了這等“小毛賊”,談何應(yīng)對(duì)網(wǎng)絡(luò)戰(zhàn)水準(zhǔn)的“大玩家”。


 
 

上一篇:2021年8月13日聚銘安全速遞

下一篇:世界經(jīng)濟(jì)論壇報(bào)告:面向數(shù)據(jù)經(jīng)濟(jì)的數(shù)據(jù)交換框架