伊朗黑客組織這幾個(gè)月以來一直在攻擊企業(yè)VPN，現(xiàn)在正打算通過地下論壇向其他黑客出售這些被入侵企業(yè)內(nèi)部網(wǎng)絡(luò)的權(quán)限，以此謀得巨額利益。

　　他們針對(duì)的企業(yè)遍布IT、電信、油氣、航空、政府和安全行業(yè)。

伊朗國家黑客正在地下論壇出售受陷企業(yè)的訪問權(quán)限

　　2020年9月1日，著名網(wǎng)絡(luò)安全公司Crowdstrike發(fā)布報(bào)告稱，一個(gè)由伊朗國家資助的黑客組織正在地下黑客論壇上出售受陷企業(yè)網(wǎng)絡(luò)的訪問權(quán)限。Crowdstrike安全公司將該黑客組織稱為 Pioneer Kitten，它也被稱為“Fox Kitten”或“Parisite”。

　　1、黑客組織曾多次入侵企業(yè)網(wǎng)絡(luò)

　　Crowdstrike安全公司認(rèn)為這一黑客組織是受伊朗政府資助的，并且他們?cè)?019年多次通過VPN和網(wǎng)絡(luò)設(shè)備中的多個(gè)漏洞入侵企業(yè)網(wǎng)絡(luò)，例如：

　　Pulse Secure “Connect”企業(yè) VPN中的漏洞 (CVE-2019-11510)

　　運(yùn)行 FortiOS 的Fortinet VPN 服務(wù)器中的漏洞 (CVE-2019-1579)

　　Citrix “ADC”服務(wù)器和 Citrix 網(wǎng)絡(luò)網(wǎng)關(guān)漏洞 (CVE-2019-19781)

　　F5 Networks BIG-IP加載平衡器 (CVE-2020-5902)

　　根據(jù)網(wǎng)絡(luò)安全公司ClearSky和Dragos的報(bào)告，Pioneer Kitten 組織一直在使用如上這些漏洞攻陷網(wǎng)絡(luò)，植入后門，隨后為其它伊朗黑客組織(如 APT33、Shamoon、ATP34 或 Chafer)提供訪問權(quán)限。

　　然后，這些其他黑客組織會(huì)進(jìn)入漏洞提供的后門，通過使用更高級(jí)的惡意軟件和漏洞在網(wǎng)絡(luò)上橫行霸道，然后搜索并竊取伊朗政府可能感興趣的敏感信息，最后又借此來橫向擴(kuò)展Pioneer Kitten所設(shè)法獲得的“初始訪問權(quán)限”。

　　可以看得出，他們?cè)?019年做的是有預(yù)謀、有組織、環(huán)環(huán)相扣的黑客行動(dòng)。

　　2、黑客組織在地下論壇出售企業(yè)網(wǎng)絡(luò)訪問權(quán)限

　　而就在2020年9月的第一天，這一黑客組織又被發(fā)現(xiàn)，他們?cè)诤诳驼搲铣鍪蹖?duì)受陷企業(yè)網(wǎng)絡(luò)的訪問權(quán)限，并且這一行為至少是從今年7月開始的。

　　Crowdstrike安全公司認(rèn)為這個(gè)黑客組織是在試圖讓他們的收入來源多樣化，并且將一些對(duì)伊朗情報(bào)機(jī)構(gòu)沒有任何價(jià)值的漏洞，進(jìn)行回收再利用，二次開發(fā)變現(xiàn)，以獲得高昂利潤。

　　伊朗國家黑客組織的常見目標(biāo)通常包括位于美國、以色列和中東地區(qū)的其它國家。

　　目標(biāo)行業(yè)通常包括國防、醫(yī)療、技術(shù)和政府行業(yè)。其它可能并非伊朗政府黑客的目標(biāo)和范圍，很可能是在地下黑客論壇上出售。

　　當(dāng)前，“初始訪問經(jīng)紀(jì)人”(如 Pioneer Kitten)的最大客戶群通常是勒索軟件團(tuán)伙。

　　是的，你沒看錯(cuò)，之所以稱之為經(jīng)紀(jì)人，是因?yàn)楝F(xiàn)在黑入企業(yè)網(wǎng)絡(luò)并植入后門已經(jīng)成為了一門生意。

伊朗國家黑客濫用VPN漏洞，入侵全球企業(yè)內(nèi)網(wǎng)植入后門

　　伊朗國家黑客其實(shí)早就被爆出來過，他們一直在入侵企業(yè)VPN服務(wù)器，在世界各地的公司中植入后門。

　　特別是2019年，這一年值得引起所有人的關(guān)注。

　　因?yàn)榇罅科髽I(yè)VPN服務(wù)器被發(fā)現(xiàn)存在重大安全漏洞，比如Pulse Secure、Palo Alto Networks、Fortinet和Citrix出售的VPN服務(wù)器。

　　而今年2月的一份報(bào)告更是顯示，受伊朗政府資助的黑客組織在2019年以利用VPN漏洞作為首要任務(wù)，一旦這些漏洞公開，他們就會(huì)滲透并在世界各地的公司植入后門。

　　報(bào)告指出，伊朗國家黑客針對(duì)的企業(yè)遍布“IT、電信、油氣、航空、政府和安全行業(yè)”。

　　1、某些攻擊僅發(fā)生在漏洞公開數(shù)小時(shí)后

　　報(bào)告指出，伊朗黑客組織同樣精通黑客技術(shù)，而且和俄羅斯、朝鮮國家黑客組織等一樣足智多謀，這一點(diǎn)和人們一貫的認(rèn)識(shí)是不同的。

　　ClearSky公司指出，“伊朗 APT*組織已經(jīng)開發(fā)出良好的技術(shù)攻擊能力，而且能夠在相對(duì)較短的時(shí)間內(nèi)利用1天的漏洞?！痹摴局赋觯谀承?shí)例中發(fā)現(xiàn)，VPN 缺陷遭公開數(shù)小時(shí)后，伊朗國家黑客就能利用它們發(fā)動(dòng)攻擊。(注：* APT代表高級(jí)持續(xù)性威脅，是一個(gè)經(jīng)常用來描述民族國家黑客組織的術(shù)語。)

　　在2019年，伊朗黑客組織迅速利用VPN 漏洞讓漏洞變成可以攻擊企業(yè)網(wǎng)絡(luò)安全的武器，VPN漏洞如下：

　　Pulse Secure“Connect” VPN (CVE-2019-11510) 、Fortinet FortiOS VPN 漏洞 (CVE-2018-13379) 和 Palo Alto Networks“Global Protect” VPN 漏洞 (CVE-2019-1579)。

　　雖然對(duì)這些系統(tǒng)的攻擊始于去年夏天，當(dāng)時(shí)有關(guān)這些錯(cuò)誤的詳細(xì)信息已公開，但到2020年這些攻擊仍在繼續(xù)。

　　另外，隨著其它 VPN 缺陷遭公開，伊朗黑客組織還將這些漏洞利用到攻擊活動(dòng)中(即CVE-2019-19781，這是Citrix“ ADC” VPN中披露的漏洞)。

　　2、入侵企業(yè)目標(biāo)植入后門

　　報(bào)告指出，這些攻擊的目的是入侵企業(yè)網(wǎng)絡(luò)，在內(nèi)部系統(tǒng)中橫向移動(dòng)并在后續(xù)日期植入后門。

　　第一階段的攻擊(攻陷 VPN)針對(duì)的是 VPN，第二階段(橫向移動(dòng))涉及全面收集工具和技術(shù)，這說明近年來伊朗黑客組織變得高級(jí)。例如，它們會(huì)濫用長久已知的技術(shù)，通過“StickyKeys”訪問性工具在Windows 系統(tǒng)上獲取管理員權(quán)限。

　　它們還利用開源的黑客工具如 JuicyPotato 和 Invoke the Hash，而且使用合法的系統(tǒng)管理員軟件如 Putty、Plink|Ngrok、Serveo 或 FRP。

　　另外，黑客如果找不到開源工具或本地工具助力，則會(huì)開發(fā)定制化惡意軟件。報(bào)告指出發(fā)現(xiàn)了伊朗黑客組織使用的工具，如：

　　STSRCheck：自開發(fā)數(shù)據(jù)庫和開放端口映射工具

　　POWSSHNET：自開發(fā)的用于 RDP-over-SSH 隧道的后門惡意軟件

　　Custom VBScripts：用于從命令和控制服務(wù)器下載 TXT 文件并將這些文件統(tǒng)一到可移植的可執(zhí)行文件

　　cs.exe 上基于套接字的后門：用于開放硬編碼 IP 地址基于套接字連接的一個(gè) EXE 文件

　　Port.exe：掃描 IP 地址預(yù)定義端口的工具

　　3、多個(gè)黑客組織統(tǒng)一行動(dòng)

　　報(bào)告指出，伊朗國家黑客組織似乎互相協(xié)作并統(tǒng)一行動(dòng)，這種行為模式此前是未曾出現(xiàn)的。

　　之前關(guān)于伊朗黑客活動(dòng)的報(bào)告詳細(xì)說明了活動(dòng)的不同集群，通常是單個(gè)黑客組織所為。報(bào)告強(qiáng)調(diào)稱，針對(duì)全球 VPN 服務(wù)器的攻擊似乎至少由三個(gè)伊朗黑客組織聯(lián)合所為，即 APT33(Elfin、Shamoon)、APT34 (Oilrig) 和APT39 (Chafer)。

　　4、數(shù)據(jù)清洗攻擊

　　當(dāng)前，這些攻擊的目的似乎是執(zhí)行偵察和為實(shí)施監(jiān)控活動(dòng)植入后門。

　　然而，報(bào)告指出這些受感染企業(yè)網(wǎng)絡(luò)的所有訪問權(quán)限未來也可被武器化，用于部署數(shù)據(jù)清洗惡意軟件，從而蓄意破壞企業(yè)并使其宕機(jī)，導(dǎo)致業(yè)務(wù)受損。

　　這些場(chǎng)景是完全有可能發(fā)生，而且也說得通的。

　　自2019年9月以來，兩款新型數(shù)據(jù)清洗惡意軟件(ZeroCleare 和 Dustman)就已遭披露并被指和伊朗黑客組織有關(guān)。

　　另外，報(bào)告指出，并不排除伊朗國家黑客組織可能利用了受陷企業(yè)訪問權(quán)限從而在客戶端實(shí)施供應(yīng)鏈攻擊的可能性。

　　這一理論的支持事實(shí)是，2月早些時(shí)候，F(xiàn)BI 警告美國私營企業(yè)警惕針對(duì)軟件供應(yīng)鏈企業(yè)的攻擊，“包括支持全球能源產(chǎn)出、傳輸和分發(fā)的工控系統(tǒng)的實(shí)體”。

　　工控和能源行業(yè)過去一直是伊朗國家黑客組織的傳統(tǒng)攻擊目標(biāo)。

　　FBI 在這份警告中還說明了攻擊中所部署的惡意軟件和 APT33所使用代碼之間的關(guān)聯(lián)，強(qiáng)有力地證明了伊朗黑客可能是這些攻擊幕后黑手的可能性。

　　另外，報(bào)告還指出，針對(duì)巴林國家石油公司 Bapco 的攻擊也使用了相同的“攻陷 VPN →橫向移動(dòng)”的技術(shù)。

　　ClearSky安全公司警告稱，攻擊過去數(shù)月時(shí)間后，最終修復(fù)其 VPN 服務(wù)器的公司應(yīng)該掃描內(nèi)網(wǎng)找到攻陷跡象。

　　報(bào)告中還提出了安全團(tuán)隊(duì)可用于掃描日志和內(nèi)部系統(tǒng)以發(fā)現(xiàn)伊朗黑客組織入侵跡象的受陷指標(biāo) (IOCs)。

　　5、新型 VPN 缺陷

　　ClearSky在報(bào)告總結(jié)部分指出，預(yù)計(jì)伊朗國家黑客組織將在新型 VPN 缺陷遭公開后尋找利用它們的機(jī)會(huì)。也就是說預(yù)計(jì)伊朗國家黑客組織很可能會(huì)在未來利用 SonicWall SRA 和 SMA VPN 服務(wù)器，因?yàn)閯偛痪们鞍踩芯繂T曾發(fā)布了關(guān)于影響這兩款產(chǎn)品的六個(gè)漏洞的詳情。

總結(jié)

　　這幾年，伊朗國家黑客已被爆出多次濫用企業(yè)VPN漏洞，有目的地入侵全球企業(yè)內(nèi)網(wǎng)并植入后門，還將訪問權(quán)限公然掛在暗示中販賣以獲利。

　　這意味著隨著互聯(lián)網(wǎng)時(shí)代的到來，高科技技術(shù)給人們帶來方便的同時(shí)，背后是無數(shù)的漏洞攻擊帶來的網(wǎng)絡(luò)信息安全隱患，這一隱患應(yīng)引起我們的高度重視。

　　原文來源：秦安戰(zhàn)略