信息來(lái)源:安全內(nèi)參
9月15日消息,美國(guó)財(cái)政部海外資產(chǎn)控制辦公室(OFAC)昨天宣布,對(duì)隸屬于伊朗伊斯蘭革命衛(wèi)隊(duì)(IRGC)的10名個(gè)人和兩家實(shí)體實(shí)施制裁,理由是他們參與了勒索軟件攻擊。
美國(guó)財(cái)政部聲稱(chēng),過(guò)去兩年以來(lái),這些個(gè)人涉嫌參與多起勒索軟件攻擊,并入侵了美國(guó)和全球其他地區(qū)組織的網(wǎng)絡(luò)。
這些惡意活動(dòng),還與多家網(wǎng)絡(luò)廠商分別跟蹤的國(guó)家資助黑客活動(dòng)存在交集,具體包括APT35、Charming Kitten、Phosphorus、DEV-0270、Tunnel Vision和Nemesis Kitten。
美國(guó)財(cái)政部表示,“已經(jīng)有多家網(wǎng)絡(luò)安全公司發(fā)現(xiàn),這些入侵活動(dòng)確與伊朗政府有關(guān)。他們此前進(jìn)行過(guò)多種惡意網(wǎng)絡(luò)攻擊,包括勒索軟件和網(wǎng)絡(luò)間諜活動(dòng)?!?span>
“該團(tuán)伙針對(duì)全球各組織及官員發(fā)起廣泛攻擊,重點(diǎn)針對(duì)美國(guó)及中東地區(qū)的國(guó)防、外交和政府工作人員,同時(shí)也將矛頭指向媒體、能源、商業(yè)服務(wù)和電信等私營(yíng)行業(yè)?!?span>
三名成員信息被懸賞3000萬(wàn)美元
作為伊朗伊斯蘭革命衛(wèi)隊(duì)的附屬組織,該團(tuán)伙的成員主要是總部位于伊朗的Najee
Technology Hooshmand Fater LLC(簡(jiǎn)稱(chēng)Najee Technology)和Afkar System Yazd公司(簡(jiǎn)稱(chēng)Afkar System)員工,其中包括:
Mansour Ahmadi:Najee
Technology公司法人、董事總經(jīng)理兼董事會(huì)主席
Ahmad Khatibi Aghda:Afkar System公司董事總經(jīng)理兼董事會(huì)成員
其他雇員及同事:Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo"in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein
Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini及Mohammad
Shakeri-Ashtijeh
美國(guó)財(cái)政部之前曾制裁與Net Peygard Samavat公司相關(guān)的人員,理由是他們?cè)?span>2019年同伊斯蘭革命衛(wèi)隊(duì)和伊朗情報(bào)與安全部(MOIS)開(kāi)展合作。
一年之后,美國(guó)財(cái)政部又制裁了Rana Intelligence Computing公司及部分員工,稱(chēng)這家打著經(jīng)營(yíng)旗號(hào)的企業(yè)其實(shí)在代表伊情報(bào)與安全部協(xié)調(diào)網(wǎng)絡(luò)攻擊活動(dòng)。
在此次制裁公告中,美國(guó)國(guó)務(wù)院提供3000萬(wàn)美元,征集關(guān)于Mansour Ahmadi、Ahmad Khatibi Aghda和Hossein Nikaeen Ravari三名受制裁伊朗人的信息。三人也因涉嫌參與針對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施組織的勒索軟件攻擊,面臨美國(guó)司法部的指控。
圖:懸賞海報(bào)(美國(guó)國(guó)務(wù)院)
美國(guó)安全公司提供溯源證據(jù)鏈
昨天,美國(guó)、加拿大、英國(guó)和澳大利亞的網(wǎng)絡(luò)安全機(jī)構(gòu)還發(fā)布聯(lián)合公告,描述了該威脅團(tuán)伙的惡意活動(dòng)并披露了技術(shù)細(xì)節(jié)。
安全公司Secureworks也緊跟發(fā)布一份報(bào)告,證實(shí)了美國(guó)財(cái)政部的信息。
Secureworks公司表示,由于抓住了對(duì)方在2022年6月勒索軟件事件中犯下的操作失誤,該公司成功將Nemesis Kitten(也稱(chēng)Cobalt Mirage)團(tuán)伙同伊朗的Najee Technology、Afkar System兩家公司,以及名為Secnerd的另一家實(shí)體聯(lián)系了起來(lái)。
Secureworks公司反威脅部門(mén)(CTU)在今年5月的報(bào)告中,也曾提到涉及Nemesis Kitten的類(lèi)似惡意攻擊(與Phosphorus APT團(tuán)伙存在交集)。
上周,微軟表示,Nemesis Kitten(也稱(chēng)DEV-0270)團(tuán)伙一直悄悄“作為伊朗支持的Phosphorus網(wǎng)絡(luò)間諜團(tuán)伙(又名Charming Kitten和APT35)的子部門(mén),為個(gè)人或公司獲取非法收入。”
微軟將該團(tuán)伙與多家伊朗企業(yè)聯(lián)系了起來(lái),其中包括Najee Technology、Secnerd和Lifeweb。
微軟解釋道,“該團(tuán)伙的攻擊目標(biāo)有很大的隨機(jī)性:他們會(huì)首先掃描互聯(lián)網(wǎng)以查找易受攻擊的服務(wù)器和設(shè)備,因此服務(wù)器和設(shè)備易受攻擊且暴露在網(wǎng)上的組織更可能受到攻擊影響?!?span>