FireEye 發現伊朗 Ajax Security Team 駭客組織於 Stuxnet 攻擊事件後朝進階性威脅攻擊發展

作者 | 發布日期 2014 年 05 月 21 日 15:12 | 分類 市場動態 , 資訊安全
fireeye-operation-ke3chang

證據顯示伊朗駭客組織對美國國防產業與伊朗反對派的攻擊愈加複雜

最新型網路攻擊防護廠商 FireEye 公司發布 Operation Saffron Rose 研究報告,內容詳述疑似由伊朗網路間諜組織發起的活動。FireEye 研究員將該組織命名為 Ajax Security Team。2009 年,該組織的攻擊活動以網站為主,至今已發展成以伊朗反對派與美國國防組織單位為目標的成熟組織。此份報告指出自 2010 年伊朗遭受重大網路攻擊後,Ajax 的攻擊手法與伊朗境內和鄰國的進階性持續威脅 (APT) 組織更加一致。



「伊朗駭客組織的發展與政府壓制反對派並加強攻擊能力的策略不謀而合,」FireEye 資深威脅情報分析師Nart Villeneuv 表示。「除了攻擊活動日益激烈外,伊朗網路威脅組織也逐漸朝網路間諜發展。這些攻擊者的目的不再只是宣傳他們的信念,而是針對鎖定目標的機器進行詳細偵查與控制,為長期的攻擊行動鋪路。」

Operation Saffron Rose 的攻擊目標包括伊朗反對派與美國國防組織單位。FireEye 實驗室最近發現 Ajax Security Team 對美國國防產業的企業發動許多網路間諜活動。該組織也對使用 Proxifier 或 Psiphon 等翻牆軟體的伊朗用戶發動攻擊。

目前尚無法定論 Ajax Security Team 是獨立團體或受命於政府,不過該組織使用的惡意程式工具並無法從市面上取得,而且也非其他攻擊者所用的工具。該組織利用各種社交工程技巧引誘目標上當,再透過惡意程式感染他們的系統。雖然 FireEye 實驗室尚未發現 Ajax Security Team 對受害者使用零時差攻擊,但該組織成員曾經使用可公開取得的攻擊程式碼來破壞網站。

FireEye 在分析偽裝成 Proxifier 或 Psiphon 的惡意程式時,在某命令與控制伺服器 (CnC) 上發現 77 個受害者。在分析這些受害者資料時,FireEye 發現許多目標的時區都設定為伊朗標準時間,或是語言設定為波斯語。

以下是這些受害者的資料分析:

  • 44 個受害者的時區設定為伊朗標準時間,其中 37 個的語言設定為波斯文。
  • 在 33 個非使用伊朗標準時間的受害者中,10 個的語言設定為波斯文。
  • 12 個受害者的系統安裝或執行了 Proxifier 或 Psiphon 軟體(每個受害者的系統語言都設定為波斯文,而且其中 11 個的時區都是伊朗標準時間)。

2009 年,美國總統專用直升機「海軍一號」的資料出現在伊朗某檔案共享網路中。自此,伊朗便被公認是進階網路攻擊的主要國家1。2010 年,伊朗網軍攻擊了推特與中國的百度搜尋引擎,將使用者導向伊朗網軍頁面2。2013 年,華爾街日報指出伊朗攻擊者加強對美國重要基礎架構的攻擊3。去年,一個名為 Izz ad-Din al-Qassam 的組織發動了 Operation Ababil,這是以美國金融機構為目標發動的一系列 DDoS 攻擊,包括紐約證券交易所4

如要閱讀完整報告,請至此處。如要閱讀相關部落格文章,請至此處

1 資料來源:海軍陸戰隊時報《Source in Iran views Marine One blueprints》,Borak, D. 著(2009 年 3 月 3日出版)

2 資料來源:富比世雜誌《Baidu Hijacked By Cyber Army》,Wai-yin Kwok, V.著(2010年1月13日出版)

3 資料來源:華爾街日報《Iran Hacks Energy Firms, U.S. Says》,Gorman, S. & Yadron, D.著(2013年5月23日出版)

4 資料來源:SC雜誌《Hacktivists plan to resume DDoS campaign against U.S. banks》,Walker, D.著(2013年3月8日出版) 

發表迴響