上個月即7月9日對伊朗鐵路系統(tǒng)的網(wǎng)絡(luò)攻擊造成大范圍混亂,,數(shù)百列火車延誤或取消時,,人們自然地指攻擊者向與德黑蘭長期處于幽靈戰(zhàn)爭中的以色列,。因?yàn)榻陙恚晾始捌浜擞?jì)劃一直是一系列網(wǎng)絡(luò)攻擊的目標(biāo),,其中包括2009-2010年由以色列和美國領(lǐng)導(dǎo)的針對鈾濃縮設(shè)施的著名的震網(wǎng)攻擊事件。
反過來,,德黑蘭在過去十年中被指控入侵其他政府,、網(wǎng)絡(luò)安全公司和網(wǎng)站。在一個案例中,,美國指控經(jīng)常為伊朗伊斯蘭革命衛(wèi)隊(duì)工作的計(jì)算機(jī)科學(xué)家對數(shù)十家美國銀行進(jìn)行網(wǎng)絡(luò)攻擊并試圖控制它們,。比如紐約郊區(qū)的一座小水壩。
全球頂級網(wǎng)絡(luò)安全公司 Check Point Software Technologies 的一項(xiàng)新調(diào)查得出結(jié)論,,一個反對伊朗政府的神秘組織很可能是這次黑客攻擊的幕后黑手,。這與之前由國家實(shí)體發(fā)起的許多網(wǎng)絡(luò)攻擊形成鮮明對比。該團(tuán)體被稱為 Indra(因陀羅),,以印度神話中的戰(zhàn)神命名,。
《紐約時報(bào)》研讀了該公司的報(bào)告,稱這次攻擊是一個警告:沒有預(yù)算,、沒有政府人員或能力的反對派團(tuán)體仍然可能造成重大損失,。
Check Point 高級研究員 Itay Cohen 說:“我們已經(jīng)看到許多與專業(yè)或軍事情報(bào)部門有關(guān)的網(wǎng)絡(luò)攻擊?!?“但這里似乎是另一回事,。”
Checkpoint在其分析報(bào)告中稱,針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件容易使人立即想到的是民族國家層面的行為體所為,。雖然大多數(shù)針對一個國家敏感網(wǎng)絡(luò)的攻擊確實(shí)是其他政府所為,,但事實(shí)是,沒有什么魔法盾牌可以阻止一個非國家支持的實(shí)體制造同樣的破壞,。
Checkpoint的報(bào)告分析了伊朗鐵路系統(tǒng)遭網(wǎng)絡(luò)攻擊的政治動機(jī)攻擊,,該攻擊被懷疑是由非國家支持的行為體發(fā)動的。這次襲擊恰好是針對伊朗的,,但它也很可能發(fā)生在紐約或柏林,。分析過程著眼于一些技術(shù)細(xì)節(jié),并揭露這次攻擊的幕后主使,,從而將其與早些年其他幾次出于政治動機(jī)的襲擊聯(lián)系起來,。
Checkpoiont研究的重要發(fā)現(xiàn)
2021年7月9日和10日,伊朗鐵路和道路和城市發(fā)展部系統(tǒng)成為了有針對性的網(wǎng)絡(luò)攻擊的對象,。Check Point Research對這些攻擊進(jìn)行了調(diào)查,,發(fā)現(xiàn)多項(xiàng)證據(jù)表明,這些攻擊嚴(yán)重依賴于攻擊者之前對目標(biāo)網(wǎng)絡(luò)的了解和偵察,。
針對伊朗的網(wǎng)絡(luò)攻擊被發(fā)現(xiàn)在戰(zhàn)術(shù)和技術(shù)上與此前針對敘利亞多家私營公司的活動相似,,至少自2019年以來一直在進(jìn)行。將這次行動與一個自稱為反對派組織的威脅組織聯(lián)系了起來,,這個組織叫Indra(因陀羅),。
這些年來,攻擊者在受害者的網(wǎng)絡(luò)中開發(fā)并部署了至少3種不同版本的“擦除器”惡意軟件,,分別是Meteor,、Stardust和Comet。從這些工具的質(zhì)量,、它們的操作方式以及它們在社交媒體上的存在來判斷,,Checkpoint發(fā)現(xiàn)因陀羅不太可能是由一個民族國家行為體操作的。
Checkpoint的分析報(bào)告詳細(xì)描述了對工具以及底層參與者使用的TTP的技術(shù)分析,。并與公眾分享Yara規(guī)則和妥協(xié)指標(biāo)的完整列表,。
從這個Indra組織有有關(guān)文件來追蹤的過程,比如惡意軟件的執(zhí)行過程,,擦除器的主要功能,、主要配置、配置的步驟,、這一惡意軟件的升級演進(jìn),、與伊朗最近遭遇攻擊事件的關(guān)聯(lián)、早期對敘利亞網(wǎng)絡(luò)的攻擊關(guān)聯(lián)等詳細(xì)信息,,以及披露的IoCs,、YARA規(guī)則等,,可參閱Checkpoint的詳細(xì)分析報(bào)告。
在《伊朗鐵路系統(tǒng)網(wǎng)絡(luò)攻擊元兇初現(xiàn)端倪》一文中,,SentinelOne的安全研究人員偶然發(fā)現(xiàn)了一種迄今未知的數(shù)據(jù)清除惡意軟件,,它可能是本月早些時候針對伊朗鐵路系統(tǒng)的破壞性網(wǎng)絡(luò)攻擊的一部分。SentinelLabs的研究人員能夠重建攻擊鏈的大部分,,其中包括一個有趣的從未見過的擦除器軟件,。當(dāng)時SentinelLabs還無法將攻擊活動與先前確認(rèn)的威脅組織聯(lián)系起來,也無法將其與其他襲擊聯(lián)系起來,。聲稱這個擦除器是在過去三年開發(fā)的,,是為重用而設(shè)計(jì)的。為了鼓勵進(jìn)一步發(fā)現(xiàn)這一新的威脅行為者,,研究人員共享了攻擊指標(biāo),,鼓勵其他安全研究人員共同探尋真相。
認(rèn)識因陀羅
Checkpoint的仔細(xì)研究不僅揭示了攻擊的目標(biāo),,還揭示了這些行動背后的組織的身份——一個以印度戰(zhàn)神“因陀羅”(Indra)命名的組織。事實(shí)上,,因陀羅并沒有試圖隱瞞他們對這些行動負(fù)有責(zé)任,,并在多個地方留下了他們的簽名。
攻擊者在受害者被鎖定的電腦上顯示的圖像宣布“我是因陀羅”,,并承認(rèn)對卡特吉集團(tuán)的攻擊負(fù)責(zé),。
因陀羅在受害者機(jī)器上設(shè)置的壁紙,聲稱對攻擊負(fù)責(zé),,并指責(zé)卡特吉集團(tuán)“支持恐怖分子”和“出賣靈魂”,。
(因陀羅對其部署“彗星”(Comet)的攻擊負(fù)責(zé))
此外,,除Meteor外,,擦除器的所有樣本都包含多次出現(xiàn)的字符串“INDRA”。Comet變體使用它作為新創(chuàng)建的Administrator帳戶的用戶名,。但在Stardust上,,它是一種惰性的神器,不參與執(zhí)行,。
?。⊿tardust惡意程序內(nèi)的Indra字符)
研究人員想知道這個因陀羅攻擊組織是否在網(wǎng)上出現(xiàn)過,事實(shí)上,,他們有,。他們在不同的平臺上運(yùn)營多個社交網(wǎng)絡(luò)賬戶,包括Twitter,、Facebook,、Telegram和Youtube,。除其他信息外,這些賬戶還披露了對上述公司的攻擊:
?。↖ndra組織的推特賬號承認(rèn)對Arfada的攻擊負(fù)責(zé))
調(diào)查這些社交網(wǎng)絡(luò)活動,,人們可以了解該組織的政治意識形態(tài)和攻擊動機(jī),甚至可以了解該組織之前的一些行動,。
因陀羅的官方twitter帳戶狀態(tài)的標(biāo)題,,“旨在將停止的恐怖QF及其兇殘的地區(qū)代理”,他們宣稱自己是非常專注于攻擊不同的涉嫌與伊朗政權(quán)合作的公司,,特別是與“圣城軍”和真主黨,。他們的帖子都是用英語或阿拉伯語寫的(這兩種語言似乎都不是他們的母語),多數(shù)都是反對恐怖主義,,或提供遭到該組織攻擊的不同公司的文件泄露,,這些公司被懷疑與伊朗Quads部隊(duì)有關(guān)聯(lián)。
在2019年9月發(fā)布的第一條信息中,,INDRA聲稱成功攻擊了Alfadelex公司,,摧毀了他們的網(wǎng)絡(luò),并泄露了客戶和員工的數(shù)據(jù),。
部分照片被張貼分布,,一個人坐在電腦前觀看圖像時研究人員發(fā)現(xiàn)Comet在他們所使用的屏幕(一個只能想象他們?nèi)绾胃杏X在那一刻)。另一張顯示在alfadlex網(wǎng)站上的圖片,,與研究發(fā)現(xiàn)的用于攻擊alfadlex,、Katerji和Arfada的其他圖片背景相同。
這張背景圖片也出現(xiàn)在因陀羅Twitter和Facebook賬戶的封面照片上,。
?。ㄒ蛲恿_的推特賬戶上發(fā)布了攻擊Alfadelex的截圖)
(被感染的電腦顯示了研究人員發(fā)現(xiàn)的攻擊Alfadelex的照片)
因陀羅之前的攻擊活動
總結(jié)因陀羅的社交網(wǎng)絡(luò)活動,,行動者聲稱對以下攻擊負(fù)責(zé):
2019年9月:位于敘利亞的貨幣兌換和轉(zhuǎn)賬服務(wù)公司Alfadelex Trading遭遇攻擊,。
2020年1月:敘利亞私營航空公司占翼航空(Cham Wings Airlines)遭遇攻擊。
2020年2月和2020年4月:接管Afrada和Katerji集團(tuán)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施,。這兩家公司也都位于敘利亞,。
2020年11月:Indra威脅要攻擊敘利亞巴尼亞斯煉油廠,但尚不清楚是否實(shí)施了威脅,。
2020年11月左右,,因陀羅的所有賬戶都陷入了沉默。在這次行動之前研究人員沒有找到任何其他行動的證據(jù),。
因陀羅和伊朗遭黑事件的關(guān)聯(lián)
2019年和2020年針對敘利亞目標(biāo)的一系列攻擊,,與針對伊朗網(wǎng)絡(luò)的行動有很多相似之處。這些都是類似的工具,,戰(zhàn)術(shù),,技術(shù)和程序(TTP),,以及攻擊的高度針對性,他們讓研究人員相信,,因陀羅也要為最近在伊朗的攻擊負(fù)責(zé),。
這些攻擊都是針對與伊朗有關(guān)的目標(biāo),無論是2021年的伊朗鐵路和伊朗公路部,,還是2020年和2019年的卡特吉,、Arfada、Alfadelex和其他敘利亞公司,。因陀羅的推文和帖子清楚地表明,,他們的目標(biāo)是他們認(rèn)為與伊朗有聯(lián)系的實(shí)體。
Checkpoint分析的所有攻擊中的多層執(zhí)行流程——包括最近針對伊朗目標(biāo)的攻擊——使用腳本文件和歸檔文件作為傳遞的方式,。這些腳本本身,,盡管它們是不同的文件類型,但具有幾乎相同的功能,。
執(zhí)行流程依賴于之前對目標(biāo)網(wǎng)絡(luò)的訪問和偵察信息,。在入侵伊朗目標(biāo)的場景下,攻擊者清楚地知道,,為了公開傳遞信息,,他們需要不影響哪些機(jī)器;此外,,他們還可以訪問鐵路的Active Directory服務(wù)器,用來分發(fā)惡意文件,。因陀羅進(jìn)行偵察的另一個跡象是他們從Alfadelex的網(wǎng)絡(luò)攝像頭上截取的截圖,,顯示辦公室內(nèi)有一臺受感染的電腦。
擦除器是部署在上述所有攻擊中受害者計(jì)算機(jī)上的最后有效載荷,。流星,、星塵和彗星是相同有效載荷的不同版本,沒有跡象表明該工具曾被其他威脅行為者使用過,。
研究人員分析的攻擊背后的行動者并沒有試圖對他們的攻擊保密,。他們分享信息并展示了宣布攻擊的圖片。在針對伊朗目標(biāo)的攻擊中,,這些信息不僅顯示在受影響的電腦上,,還顯示在平臺板上。
與之前的行動不同,,Indra沒有公開承認(rèn)對伊朗的攻擊負(fù)責(zé),。這可能可以用新攻擊的嚴(yán)重性以及它們的影響來解釋。針對敘利亞攻擊,,具體目標(biāo)是私營公司,,而針對伊朗鐵路和公路和城市化部的攻擊針對的是伊朗官方實(shí)體,。此外,敘利亞的攻擊幾乎沒有得到媒體的關(guān)注,,而針對伊朗政府的攻擊卻在世界各地被廣泛報(bào)道,,據(jù)報(bào)道給伊朗人帶來了一些悲傷。
結(jié)論
通過對這次針對伊朗的最新攻擊進(jìn)行分析,,研究人員能夠揭示其復(fù)雜的執(zhí)行流程,,以及最終“擦除器”組件的另外兩種變體。這些工具此前曾被用于攻擊敘利亞公司,,威脅行動者因陀羅在其社交媒體賬戶上正式表示對此負(fù)責(zé),。雖然因陀羅選擇不為最近針對伊朗的攻擊負(fù)責(zé),但上述相似之處暴露了兩者之間的聯(lián)系,。從這次事件中可以吸取兩個教訓(xùn),。
首先,匿名是一條單行道,。一旦你為了公關(guān)和在Twitter上獲得一些贊而犧牲了它,,就不那么容易恢復(fù)了。你可以停止向全世界廣播你的行動,,你可能認(rèn)為你已經(jīng)在雷達(dá)下,,但互聯(lián)網(wǎng)記住,并給予足夠的動機(jī),,它會去匿名你,,即使你是一個壞蛋黑客激進(jìn)分子威脅演員。
其次,,應(yīng)該更加擔(dān)心那些完全有可能發(fā)生,、但根據(jù)普遍共識“顯然不會發(fā)生”的攻擊。盡管網(wǎng)絡(luò)犯罪,、黑客行動主義,、民族國家干預(yù)等等造成了諸多麻煩,但總體而言,,攻擊的程度和復(fù)雜性仍只是其全部潛力的一小部分,;通常情況下,威脅行為者不會做X, Y, Z,,即使他們完全可以,。
像這樣的情況,所謂的威脅行動者繼續(xù)做X, Y, Z,,應(yīng)該會提高公眾的集體焦慮水平,。正如在報(bào)告開頭所述,這次攻擊發(fā)生在伊朗,,但下個月,,其他一些組織可能會對紐約發(fā)動類似的攻擊,,下個月又會對柏林發(fā)動攻擊。沒有什么能阻止它,,除了威脅行動者有限的耐心,、動機(jī)和資源,正如剛才清楚地看到的,,這些有時畢竟不是那么有限,。
最后,真正讓人們后怕的是,,就這樣一個能力水平一般的“小毛賊”,,也能干成讓全球震驚的大事情。對付不了這等“小毛賊”,,談何應(yīng)對網(wǎng)絡(luò)戰(zhàn)水準(zhǔn)的“大玩家”,。
