伊朗升級網軍實力,一雪核子設施被癱瘓之恥

作者 | 發布日期 2014 年 12 月 09 日 12:21 | 分類 資訊安全
Cylance-Operation-Cleaver-Report

在資安的領域,就像傳統軍武,各方都會養團隊對抗對方。一時落敗的一方會努力追上,資安公司 Cylance 的報告指出伊朗為一雪前恥,被蠕蟲 Stuxnet 搞掉核子設施的恥辱,運用國家力量升級網軍,針對頭號敵人美國及以色列的敏感設施滲透,總計有 50 個機關受影響。當然伊朗官方否認指控。




這次伊朗牽涉在內的駭客行動,命名為 Operation Cleaver。目前收集到的資訊,顯示這次行動主要目的是情報運作,潛伏在目標的電腦,但潛伏的惡意程式仍有能力發動攻擊。駭客用 APT 的手法侵入目標電腦,儘管 APT 攻擊手法不好追查來源,不過報告中指出攻擊來自伊朗境內的網域,伊朗公司 Tarh Andishan。

Cylance 表示現在揭露 Operation Cleaver,主要是觀察到的行動只佔整體的一部分,遲早有一天全球的安全將遭到威脅。選擇此時揭露,需要資安界努力一起來面對危機。這次見識到的伊朗 Operation Cleaver 小組,他們團隊不斷演化,比先前看過的伊朗攻擊行動更快更好。

據消息人士指出,電力公司 Calpine Corp,沙烏地阿拉伯國營石油公司,沙烏地阿拉伯國家石油公司 (Saudi Aramco),墨西哥石油公司 (PEMEX),以及航空公司卡達航空、大韓航空,都是駭客的重點目標。

沙烏地阿拉伯國家石油公司並不是第一次被攻擊。2012 年就有 30,000 臺電腦遭惡意程式 Shamoon 入侵。這次可說是單一公司最大規模的破壞,美國研判伊朗在背後搞鬼。

Operation Cleaver 的名稱來自駭客用的軟體中,常出現的字串。跟伊朗相關的蹤跡除了攻擊發起的 IP 來自伊朗以外,駭客用的名稱是波斯語。

除了美國、以色列、沙烏地阿拉伯、南韓,其他受害國家有加拿大、中國、英國、法國、德國、印度、科威特、巴基斯坦、土耳其。南韓成為受害者可能是因為伊朗與北韓有情報交換的協議。被入侵的組織類型有太空科技公司、機場、航班、大學、能源公司、醫院、電信業者。

Cylance-Operation-target-country

 ▲ 受害地區全球一覽圖

2010 年蠕蟲 Stuxnet 造成伊朗核子計畫停滯。伊朗傾全國之力,努力投資資源在駭客軍團上,一雪先前的恥辱。美國、以色列和伊朗之間網路上駭客攻防的一部分,在這一仗伊朗屈居下風,核子設施被入侵打掛。

報告引述以色列資安專家的話:「伊朗已經可以被視為第一級的駭客國家了。」其他人評論伊朗的國家駭客能力已經與中國旗鼓相當,但在虛張聲勢上能與俄羅斯拚了。

「全球的基本設施營運商都需要認直面對這次威脅,伊朗帶來的威脅是確切發生的,如果還沒發生就是即將來臨了。」Mark Weatherford,前美國國土安全部資安專家說。

(首圖來源:Cylance 報告)

發表迴響