安全動態(tài)

伊朗鐵路系統(tǒng)遭黑的幕后組織曝光:原來是一個“小毛賊”

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2021-08-16    瀏覽次數(shù):
 

信息來源:安全內(nèi)參


上個月即7月9日對伊朗鐵路系統(tǒng)的網(wǎng)絡(luò)攻擊造成大范圍混亂,數(shù)百列火車延誤或取消時,人們自然地指攻擊者向與德黑蘭長期處于幽靈戰(zhàn)爭中的以色列。因?yàn)榻陙?,伊朗及其核?jì)劃一直是一系列網(wǎng)絡(luò)攻擊的目標(biāo),其中包括2009-2010年由以色列和美國領(lǐng)導(dǎo)的針對鈾濃縮設(shè)施的著名的震網(wǎng)攻擊事件。

反過來,德黑蘭在過去十年中被指控入侵其他政府、網(wǎng)絡(luò)安全公司和網(wǎng)站。在一個案例中,美國指控經(jīng)常為伊朗伊斯蘭革命衛(wèi)隊(duì)工作的計(jì)算機(jī)科學(xué)家對數(shù)十家美國銀行進(jìn)行網(wǎng)絡(luò)攻擊并試圖控制它們。比如紐約郊區(qū)的一座小水壩。

全球頂級網(wǎng)絡(luò)安全公司 Check Point Software Technologies 的一項(xiàng)新調(diào)查得出結(jié)論,一個反對伊朗政府的神秘組織很可能是這次黑客攻擊的幕后黑手。這與之前由國家實(shí)體發(fā)起的許多網(wǎng)絡(luò)攻擊形成鮮明對比。該團(tuán)體被稱為 Indra(因陀羅),以印度神話中的戰(zhàn)神命名。

《紐約時報》研讀了該公司的報告,稱這次攻擊是一個警告:沒有預(yù)算、沒有政府人員或能力的反對派團(tuán)體仍然可能造成重大損失。

Check Point 高級研究員 Itay Cohen 說:“我們已經(jīng)看到許多與專業(yè)或軍事情報部門有關(guān)的網(wǎng)絡(luò)攻擊?!?“但這里似乎是另一回事?!?

Checkpoint在其分析報告中稱,針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件容易使人立即想到的是民族國家層面的行為體所為。雖然大多數(shù)針對一個國家敏感網(wǎng)絡(luò)的攻擊確實(shí)是其他政府所為,但事實(shí)是,沒有什么魔法盾牌可以阻止一個非國家支持的實(shí)體制造同樣的破壞。

Checkpoint的報告分析了伊朗鐵路系統(tǒng)遭網(wǎng)絡(luò)攻擊的政治動機(jī)攻擊,該攻擊被懷疑是由非國家支持的行為體發(fā)動的。這次襲擊恰好是針對伊朗的,但它也很可能發(fā)生在紐約或柏林。分析過程著眼于一些技術(shù)細(xì)節(jié),并揭露這次攻擊的幕后主使,從而將其與早些年其他幾次出于政治動機(jī)的襲擊聯(lián)系起來。

Checkpoiont研究的重要發(fā)現(xiàn)

2021年7月9日和10日,伊朗鐵路和道路和城市發(fā)展部系統(tǒng)成為了有針對性的網(wǎng)絡(luò)攻擊的對象。Check Point Research對這些攻擊進(jìn)行了調(diào)查,發(fā)現(xiàn)多項(xiàng)證據(jù)表明,這些攻擊嚴(yán)重依賴于攻擊者之前對目標(biāo)網(wǎng)絡(luò)的了解和偵察。

針對伊朗的網(wǎng)絡(luò)攻擊被發(fā)現(xiàn)在戰(zhàn)術(shù)和技術(shù)上與此前針對敘利亞多家私營公司的活動相似,至少自2019年以來一直在進(jìn)行。將這次行動與一個自稱為反對派組織的威脅組織聯(lián)系了起來,這個組織叫Indra(因陀羅)。

這些年來,攻擊者在受害者的網(wǎng)絡(luò)中開發(fā)并部署了至少3種不同版本的“擦除器”惡意軟件,分別是Meteor、Stardust和Comet。從這些工具的質(zhì)量、它們的操作方式以及它們在社交媒體上的存在來判斷,Checkpoint發(fā)現(xiàn)因陀羅不太可能是由一個民族國家行為體操作的。

Checkpoint的分析報告詳細(xì)描述了對工具以及底層參與者使用的TTP的技術(shù)分析。并與公眾分享Yara規(guī)則和妥協(xié)指標(biāo)的完整列表。

從這個Indra組織有有關(guān)文件來追蹤的過程,比如惡意軟件的執(zhí)行過程,擦除器的主要功能、主要配置、配置的步驟、這一惡意軟件的升級演進(jìn)、與伊朗最近遭遇攻擊事件的關(guān)聯(lián)、早期對敘利亞網(wǎng)絡(luò)的攻擊關(guān)聯(lián)等詳細(xì)信息,以及披露的IoCs、YARA規(guī)則等,可參閱Checkpoint的詳細(xì)分析報告。

在《伊朗鐵路系統(tǒng)網(wǎng)絡(luò)攻擊元兇初現(xiàn)端倪》一文中,SentinelOne的安全研究人員偶然發(fā)現(xiàn)了一種迄今未知的數(shù)據(jù)清除惡意軟件,它可能是本月早些時候針對伊朗鐵路系統(tǒng)的破壞性網(wǎng)絡(luò)攻擊的一部分。SentinelLabs的研究人員能夠重建攻擊鏈的大部分,其中包括一個有趣的從未見過的擦除器軟件。當(dāng)時SentinelLabs還無法將攻擊活動與先前確認(rèn)的威脅組織聯(lián)系起來,也無法將其與其他襲擊聯(lián)系起來。聲稱這個擦除器是在過去三年開發(fā)的,是為重用而設(shè)計(jì)的。為了鼓勵進(jìn)一步發(fā)現(xiàn)這一新的威脅行為者,研究人員共享了攻擊指標(biāo),鼓勵其他安全研究人員共同探尋真相。

認(rèn)識因陀羅

Checkpoint的仔細(xì)研究不僅揭示了攻擊的目標(biāo),還揭示了這些行動背后的組織的身份——一個以印度戰(zhàn)神“因陀羅”(Indra)命名的組織。事實(shí)上,因陀羅并沒有試圖隱瞞他們對這些行動負(fù)有責(zé)任,并在多個地方留下了他們的簽名。

攻擊者在受害者被鎖定的電腦上顯示的圖像宣布“我是因陀羅”,并承認(rèn)對卡特吉集團(tuán)的攻擊負(fù)責(zé)。

因陀羅在受害者機(jī)器上設(shè)置的壁紙,聲稱對攻擊負(fù)責(zé),并指責(zé)卡特吉集團(tuán)“支持恐怖分子”和“出賣靈魂”。

(因陀羅對其部署“彗星”(Comet)的攻擊負(fù)責(zé))

此外,除Meteor外,擦除器的所有樣本都包含多次出現(xiàn)的字符串“INDRA”。Comet變體使用它作為新創(chuàng)建的Administrator帳戶的用戶名。但在Stardust上,它是一種惰性的神器,不參與執(zhí)行。

(Stardust惡意程序內(nèi)的Indra字符)

研究人員想知道這個因陀羅攻擊組織是否在網(wǎng)上出現(xiàn)過,事實(shí)上,他們有。他們在不同的平臺上運(yùn)營多個社交網(wǎng)絡(luò)賬戶,包括Twitter、Facebook、Telegram和Youtube。除其他信息外,這些賬戶還披露了對上述公司的攻擊:

(Indra組織的推特賬號承認(rèn)對Arfada的攻擊負(fù)責(zé))

調(diào)查這些社交網(wǎng)絡(luò)活動,人們可以了解該組織的政治意識形態(tài)和攻擊動機(jī),甚至可以了解該組織之前的一些行動。

因陀羅的官方twitter帳戶狀態(tài)的標(biāo)題,“旨在將停止的恐怖QF及其兇殘的地區(qū)代理”,他們宣稱自己是非常專注于攻擊不同的涉嫌與伊朗政權(quán)合作的公司,特別是與“圣城軍”和真主黨。他們的帖子都是用英語或阿拉伯語寫的(這兩種語言似乎都不是他們的母語),多數(shù)都是反對恐怖主義,或提供遭到該組織攻擊的不同公司的文件泄露,這些公司被懷疑與伊朗Quads部隊(duì)有關(guān)聯(lián)。

在2019年9月發(fā)布的第一條信息中,INDRA聲稱成功攻擊了Alfadelex公司,摧毀了他們的網(wǎng)絡(luò),并泄露了客戶和員工的數(shù)據(jù)。

部分照片被張貼分布,一個人坐在電腦前觀看圖像時研究人員發(fā)現(xiàn)Comet在他們所使用的屏幕(一個只能想象他們?nèi)绾胃杏X在那一刻)。另一張顯示在alfadlex網(wǎng)站上的圖片,與研究發(fā)現(xiàn)的用于攻擊alfadlex、Katerji和Arfada的其他圖片背景相同。

這張背景圖片也出現(xiàn)在因陀羅Twitter和Facebook賬戶的封面照片上。

(因陀羅的推特賬戶上發(fā)布了攻擊Alfadelex的截圖)

(被感染的電腦顯示了研究人員發(fā)現(xiàn)的攻擊Alfadelex的照片)

因陀羅之前的攻擊活動

總結(jié)因陀羅的社交網(wǎng)絡(luò)活動,行動者聲稱對以下攻擊負(fù)責(zé):

2019年9月:位于敘利亞的貨幣兌換和轉(zhuǎn)賬服務(wù)公司Alfadelex Trading遭遇攻擊。

2020年1月:敘利亞私營航空公司占翼航空(Cham Wings Airlines)遭遇攻擊。

2020年2月和2020年4月:接管Afrada和Katerji集團(tuán)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。這兩家公司也都位于敘利亞。

2020年11月:Indra威脅要攻擊敘利亞巴尼亞斯煉油廠,但尚不清楚是否實(shí)施了威脅。

2020年11月左右,因陀羅的所有賬戶都陷入了沉默。在這次行動之前研究人員沒有找到任何其他行動的證據(jù)。

因陀羅和伊朗遭黑事件的關(guān)聯(lián)

2019年和2020年針對敘利亞目標(biāo)的一系列攻擊,與針對伊朗網(wǎng)絡(luò)的行動有很多相似之處。這些都是類似的工具,戰(zhàn)術(shù),技術(shù)和程序(TTP),以及攻擊的高度針對性,他們讓研究人員相信,因陀羅也要為最近在伊朗的攻擊負(fù)責(zé)。

這些攻擊都是針對與伊朗有關(guān)的目標(biāo),無論是2021年的伊朗鐵路和伊朗公路部,還是2020年和2019年的卡特吉、Arfada、Alfadelex和其他敘利亞公司。因陀羅的推文和帖子清楚地表明,他們的目標(biāo)是他們認(rèn)為與伊朗有聯(lián)系的實(shí)體。

Checkpoint分析的所有攻擊中的多層執(zhí)行流程——包括最近針對伊朗目標(biāo)的攻擊——使用腳本文件和歸檔文件作為傳遞的方式。這些腳本本身,盡管它們是不同的文件類型,但具有幾乎相同的功能。

執(zhí)行流程依賴于之前對目標(biāo)網(wǎng)絡(luò)的訪問和偵察信息。在入侵伊朗目標(biāo)的場景下,攻擊者清楚地知道,為了公開傳遞信息,他們需要不影響哪些機(jī)器;此外,他們還可以訪問鐵路的Active Directory服務(wù)器,用來分發(fā)惡意文件。因陀羅進(jìn)行偵察的另一個跡象是他們從Alfadelex的網(wǎng)絡(luò)攝像頭上截取的截圖,顯示辦公室內(nèi)有一臺受感染的電腦。

擦除器是部署在上述所有攻擊中受害者計(jì)算機(jī)上的最后有效載荷。流星、星塵和彗星是相同有效載荷的不同版本,沒有跡象表明該工具曾被其他威脅行為者使用過。

研究人員分析的攻擊背后的行動者并沒有試圖對他們的攻擊保密。他們分享信息并展示了宣布攻擊的圖片。在針對伊朗目標(biāo)的攻擊中,這些信息不僅顯示在受影響的電腦上,還顯示在平臺板上。

與之前的行動不同,Indra沒有公開承認(rèn)對伊朗的攻擊負(fù)責(zé)。這可能可以用新攻擊的嚴(yán)重性以及它們的影響來解釋。針對敘利亞攻擊,具體目標(biāo)是私營公司,而針對伊朗鐵路和公路和城市化部的攻擊針對的是伊朗官方實(shí)體。此外,敘利亞的攻擊幾乎沒有得到媒體的關(guān)注,而針對伊朗政府的攻擊卻在世界各地被廣泛報道,據(jù)報道給伊朗人帶來了一些悲傷。

結(jié)論

通過對這次針對伊朗的最新攻擊進(jìn)行分析,研究人員能夠揭示其復(fù)雜的執(zhí)行流程,以及最終“擦除器”組件的另外兩種變體。這些工具此前曾被用于攻擊敘利亞公司,威脅行動者因陀羅在其社交媒體賬戶上正式表示對此負(fù)責(zé)。雖然因陀羅選擇不為最近針對伊朗的攻擊負(fù)責(zé),但上述相似之處暴露了兩者之間的聯(lián)系。從這次事件中可以吸取兩個教訓(xùn)。

首先,匿名是一條單行道。一旦你為了公關(guān)和在Twitter上獲得一些贊而犧牲了它,就不那么容易恢復(fù)了。你可以停止向全世界廣播你的行動,你可能認(rèn)為你已經(jīng)在雷達(dá)下,但互聯(lián)網(wǎng)記住,并給予足夠的動機(jī),它會去匿名你,即使你是一個壞蛋黑客激進(jìn)分子威脅演員。

其次,應(yīng)該更加擔(dān)心那些完全有可能發(fā)生、但根據(jù)普遍共識“顯然不會發(fā)生”的攻擊。盡管網(wǎng)絡(luò)犯罪、黑客行動主義、民族國家干預(yù)等等造成了諸多麻煩,但總體而言,攻擊的程度和復(fù)雜性仍只是其全部潛力的一小部分;通常情況下,威脅行為者不會做X, Y, Z,即使他們完全可以。

像這樣的情況,所謂的威脅行動者繼續(xù)做X, Y, Z,應(yīng)該會提高公眾的集體焦慮水平。正如在報告開頭所述,這次攻擊發(fā)生在伊朗,但下個月,其他一些組織可能會對紐約發(fā)動類似的攻擊,下個月又會對柏林發(fā)動攻擊。沒有什么能阻止它,除了威脅行動者有限的耐心、動機(jī)和資源,正如剛才清楚地看到的,這些有時畢竟不是那么有限。

最后,真正讓人們后怕的是,就這樣一個能力水平一般的“小毛賊”,也能干成讓全球震驚的大事情。對付不了這等“小毛賊”,談何應(yīng)對網(wǎng)絡(luò)戰(zhàn)水準(zhǔn)的“大玩家”。


 
 

上一篇:2021年8月13日聚銘安全速遞

下一篇:世界經(jīng)濟(jì)論壇報告:面向數(shù)據(jù)經(jīng)濟(jì)的數(shù)據(jù)交換框架