伊朗黑客组织手术刀(Operation Cleaver)剑指全球工控系统
安全公司Cylance爆料,伊朗黑客组织“手术刀(Operation Cleaver)”正在全球范围内攻击航空、能源行业和国防领域。
“手术刀”由伊朗政府赞助,在它的攻击目标中,目前有10个是美国重要基础设施。
Cylance公司的专家警告称关于攻击SCADA系统网络的背后的动机可能是他们倾向于报复美国曾用Stuxnet和其他网络战攻击伊朗。攫取的数据可能被黑客用于进一步攻击破坏。
<!--补脑时间
Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。
特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,由于该系统在我国的多个重要行业应用广泛,
被用来进行钢铁、电力、能源、化工等重要行业的人机交互与监控。
传播途径:该病毒主要通过U盘和局域网进行传播。历史“贡献”:曾造成伊朗核电站推迟发电。 2010-09-25,进入中国。
-->
安全研究人员目前没有直接的证据证明“手术刀”已经入侵了工业控制系统(ICS)或者监测控制&数据采集系统(SCADA)的网络,但是手术刀确实放出了来自关键基础设施的公司的很多敏感数据,这些漏洞直接影响到系统的运行。
Cylance在其报告中表示。“这一数据可以使他们或其附属组织轻轻松松掌控目标及破坏目标的ICS和SCADA。”
Cylance研究人员列出了长长的“手术刀”攻击目标列表,包括美国一个军事实体、美国海军陆战队内网(NMCI)以及如能源和公共事业的几个工业组织。
Cylance研究人员称“手术刀”攻击了全球各地超过50个受害目标。
尽管这些案例的溯源很难,但是Cylance的专家们发现了大量用于攻击的域名都是由伊朗公司Tarh Andishan注册的。
专家们还发现ASNs和netblocks是直接与伊朗当局挂钩的,同时攻击利用的基础设施由伊朗供应商Netafraz提供。
“他们有更大的预谋:如何影响全球重要的基础设施,”报告陈述到“我们相信,如果放纵手术刀组织继续任意妄为,全球的物理安全都要毁于一旦,这只是个时间问题罢了。虽然这些信息的披露将会损害我们追踪该组织活动的能力,但它将会团结整个安全行业进行抵御这一威胁。”
伊朗官员在每日邮报(The DailyMail)上发表文章否定了这一说法:
“这种毫无根据的指控捏造是在损害伊朗政府形象,美国是意在阻碍当前的核谈判”,伊朗的联合国代表团发言人Hamid Babaei如是评论道。
该报告还显示,机场,主要航空公司、政府机构、运输公司、电信运营商、国防承包商和教育机构也是他们攻击的目标。
专家透露,观察期间,手术刀组织的成员们迅速地提升了他们的的网络攻击能力。
Cylance公司的报告称,“在过去24个月激烈的情报收集,我们观察到手术刀组织的技术能力提升速度比先前观察到的伊朗其他任何组织都快。
在伊朗的网络战能力继续演变,在物理世界全球范围内的攻击可能性迅速增长,”
背手术刀后的成员使用现成的SQL注入攻击和利用几个微软漏洞,包括在流行的红色十月竞选中用到的ms08-067。
黑客采用ttp技术来APT攻击目标。调查人员发现手术刀团队有定制的工具。这些定制的工具允许攻击者偷走数据,攫取受害者的凭据,网络嗅探、键盘记录器已经留后门。
Cylance的专家分析了近8G的数据,超过80000个文件,他们发现了手术刀组织的工具。专家们也能够通过手术刀组织使用的控制服务器来追踪这些恶意软件。有趣的是,在报告中没有发现该组织零日攻击。
Cylance公司发布来自超过150国际石油公司的样本,这些都有手术刀组织的攻击有关,这有助于快速的洞察其一举一动。
文末有几个有趣的推测,强调伊朗是如何试图改善其网络攻击能力的:
1.韩国的一些科技公司定焦在CIKR(stands for “Critical Infrastructure and Key Resources”),这可能促成了伊朗与朝鲜不断增长的伙伴关系。
2012年9月,伊朗与朝鲜签订了一项广泛的技术合作协议,包括在IT与安全方面。
2.伊朗从大学中招募潜在的“雇佣黑客”。
胖编发现手术刀上是中国的大菜刀?logo上的一串hex 5468696e6b204576696c2c20446f20476f6f64 用Hackbar Hex2Characters 为Think Evil, Do Good;看来是个善良的集体啊。
【本文来源operation-cleaver-iranian-hackers 翻译:SP胖编】