科技趨勢

FireEye發現伊朗駭客組織朝進階性威脅攻擊發展

最新型網路攻擊防護領導廠商FireEye®公司 (NASDAQ: FEYE)發布Operation Saffron Rose研究報告,內容詳述疑似由伊朗網路間諜組織發起的活動。FireEye研究員將該組織命名為Ajax Security Team。2009年,該組織的攻擊活動以網站為主,至今已發展成以伊朗反對派與美國國防組織單位為目標的成熟組織。此份報告指出自2010年伊朗遭受重大網路攻擊後,Ajax的攻擊手法與伊朗境內和鄰國的進階性持續威脅(APT)組織更加一致。

「伊朗駭客組織的發展與政府壓制反對派並加強攻擊能力的策略不謀而合,」FireEye資深威脅情報分析師Nart Villeneuv表示。「除了攻擊活動日益激烈外,伊朗網路威脅組織也逐漸朝網路間諜發展。這些攻擊者的目的不再只是宣傳他們的信念,而是針對鎖定目標的機器進行詳細偵查與控制,為長期的攻擊行動鋪路。」

Operation Saffron Rose的攻擊目標包括伊朗反對派與美國國防組織單位。FireEye實驗室最近發現Ajax Security Team對美國國防產業的企業發動許\多網路間諜活動。該組織也對使用Proxifier或Psiphon等翻牆軟體的伊朗用戶發動攻擊。

目前尚無法定論Ajax Security Team是獨立團體或受命於政府,不過該組織使用的惡意程式工具並無法從市面上取得,而且也非其他攻擊者所用的工具。該組織利用各種社交工程技巧引誘目標上當,再透過惡意程式感染他們的系統。雖然FireEye實驗室尚未發現Ajax Security Team對受害者使用零時差攻擊,但該組織成員曾經使用可公開取得的攻擊程式碼來破壞網站。

FireEye在分析偽裝成Proxifier或Psiphon的惡意程式時,在某命令與控制伺服器(CnC)上發現77個受害者。在分析這些受害者資料時,FireEye發現許\多目標的時區都設定為伊朗標準時間,或是語言設定為波斯語。

以下是這些受害者的資料分析:
• 44個受害者的時區設定為伊朗標準時間,其中37個的語言設定為波斯文。
• 在33個非使用伊朗標準時間的受害者中,10個的語言設定為波斯文。
• 12個受害者的系統安裝或執行了Proxifier或Psiphon軟體(每個受害者的系統語言都設定為波斯文,而且其中11個的時區都是伊朗標準時間)。

2009年,美國總統專用直升機「海軍一號」的資料出現在伊朗某檔案共享網路中。自此,伊朗便被公認是進階網路攻擊的主要國家。2010年,伊朗網軍攻擊了推特與中國的百度搜尋引擎,將使用者導向伊朗網軍頁面。2013年,華爾街日報指出伊朗攻擊者加強對美國重要基礎架構的攻擊。去年,一個名為Izz ad-Din al-Qassam的組織發動了Operation Ababil,這是以美國金融機構為目標發動的一系列DDoS攻擊,包括紐約證券交易所。