黑客联手打击美国和以色列目标：这就是2020年伊朗网络攻击的样子

 
自从2010年Stuxnet蠕虫对纳坦兹核电站的攻击最终归因于美国和以色列政府以来，伊朗一直在认真对待“网络”。尽管人们对伊朗发起网络战争的构想基本不屑一顾，但伊朗政权并不缺乏灵活的网络力量。尽管2月8日摧毁伊朗互联网25%的网络攻击并非归因于美国的威胁行为者，更不用说是由国家资助的行为者了，但它不可能平息反西方的网络言论。或者，确实是源自德黑兰的网络间谍活动。这项活动大部分针对美国和以色列，并且大部分归因于国家资助的黑客组织。现在，最新发表的研究表明，持续进行了三年的伊朗进攻行动很可能是这些所谓的“高级持久威胁”组织中的一些人共同努力的结果。
坦率地说，虚构的詹姆斯·邦德(James Bond)角色因其一系列荒谬的技术帮助而闻名，从皇家赌场的烟枪到注入幽灵邦德血流中的追踪纳米粒子。回到现实世界中，由国家赞助的间谍活动越来越依赖于虚构的技术。我最近报道说，中央情报局如何通过秘密地在其使用的加密设备中建立后门，从而使美国在数十年间监视了100多个外国政府。伊朗政府资助的黑客没有这种近乎无处不在的渗透的奢侈，而且与他们的中国或俄罗斯同时代人相比，他们传统上也没有被认为具有如此先进的技术。但是，这并没有阻止伊朗黑客团体开展非常成功的网络间谍活动。
狐狸小猫间谍活动已经开展了三年
ClearSky研究团队发表了一份报告，揭示了过去三年来针对美国和以色列各个行业的伊朗间谍活动是如何进行的。正如研究人员所标记的那样，“狐狸小猫”运动使伊朗的进攻性黑客成功地获得了属于航空，政府，IT，石油和天然气组织的众多网络的访问权，并在这些网络中长期站稳脚跟，安全和电信部门。
研究人员估计，“狐狸小猫”是“迄今为止伊朗所进行的最连续，最全面的战役之一”。该报告警告说，尽管到目前为止，它已被用作间谍和侦察基础设施，但它也可以传播破坏性恶意软件，如Dustman和ZeroCleare，它们都与APT34国家资助的黑客组织有关。
伊朗政府资助的黑客组织是否正在联合起来?
有趣的是，对于西方国家来说，可能潜在的问题是，ClearSky研究人员说，以“中概率”等级，就此次战役而言，APT33-Elfin，APT34-OilRig和APT39-Chafer组之间存在联系。 1月，德拉戈斯的安全研究人员首次揭示了针对美国能源基础设施领域的运动。现在，ClearSky的调查确定了更全面的广告活动结构;因此，新的Fox小猫命名。该报告继续评估了APT33和APT34自2017年以来一直在合作，利用攻击基础设施窃取信息，通过供应链攻击破坏其他公司，并在所有这些网络上保持持久的立足点。
立即更新您的VPN，Citrix和Windows安装
其中，ClearSky确定为最重要的攻击媒介是在尚未打补丁的系统中利用已知的VPN和RDP漏洞。美国政府甚至在1月发布了强大的安全警报，警告组织更新其VPN安装或面临网络攻击，并在2019年11月发出类似警告，警告与Windows用户的RDP相关BlueKeep威胁有关。 VPN和RDP漏洞均可被伊朗黑客组织用来渗透，然后获得对关键数据存储的控制。 ClearSky还警告说，利用某些Citrix设备中最近出现的漏洞，预计在2020年将非常重要。
信息安全专家称，伊朗毫不奇怪
我与Cyjax的CISO的Ian Thornton-Trump进行了交谈，他曾在加拿大军队的军事情报部门任职，他将这份报告视为有益力量的巨大胜利。他说：“不仅像这样的预期来自伊朗的袭击，而且安全研究人员的这一发现也等同于破坏性袭击。”因此，尽管伊朗战役规模庞大，范围广，但据报道的分析意味着，现在有更多组织可以作出反应，成功地缓解该战役。但是，按照Thornton-Trump的说法，这并不是个好消息，尤其是当RDP和VPN被称为攻击媒介时。
“严重的是，有些组织睡着了还是没有注意?”他说：“我们在11月，12月和1月之间就知道了这些向量，并进行了非常公开的公告和一些概念上的实际证明。”桑顿·特朗普说，这揭示了一些有说服力的东西。 “这些公司的执行管理人员在应对这些危险漏洞的漏洞管理方面进展得不够快，资产管理可能处于不良状态，漏洞的自动化，检测和修复工具不足，我怀疑最后一个潜在的问题在那里可能是IT资源的限制。”
毫无疑问，Fox Kitten竞选新闻应该是对每个企业，每个组织，而不只是伊朗政府资助的袭击组织的准星中的一个警钟。桑顿-特朗普总结说：“这是经典的APT拳击比赛的又一回合，当钟声响起时，安全研究人员做出了一个有利的决定。回去再进行下一回合。”