伊朗铁路系统遭黑的幕后组织终曝光--并非什么“大玩家”原来是一个“小毛贼”
2021-08-21
来源:网空闲话
上个月即7月9日对伊朗铁路系统的网络攻击造成大范围混乱,数百列火车延误或取消时,人们自然地指攻击者向与德黑兰长期处于幽灵战争中的以色列。因为近年来,伊朗及其核计划一直是一系列网络攻击的目标,其中包括2009-2010年由以色列和美国领导的针对铀浓缩设施的著名的震网攻击事件。
反过来,德黑兰在过去十年中被指控入侵其他政府、网络安全公司和网站。在一个案例中,美国指控经常为伊朗伊斯兰革命卫队工作的计算机科学家对数十家美国银行进行网络攻击并试图控制它们。比如纽约郊区的一座小水坝。
全球顶级网络安全公司 Check Point Software Technologies 的一项新调查得出结论,一个反对伊朗政府的神秘组织很可能是这次黑客攻击的幕后黑手。这与之前由国家实体发起的许多网络攻击形成鲜明对比。该团体被称为 Indra(因陀罗),以印度神话中的战神命名。
《纽约时报》研读了该公司的报告,称这次攻击是一个警告:没有预算、没有政府人员或能力的反对派团体仍然可能造成重大损失。
Check Point 高级研究员 Itay Cohen 说:“我们已经看到许多与专业或军事情报部门有关的网络攻击。” “但这里似乎是另一回事。”
Checkpoint在其分析报告中称,针对关键基础设施的网络攻击事件容易使人立即想到的是民族国家层面的行为体所为。虽然大多数针对一个国家敏感网络的攻击确实是其他政府所为,但事实是,没有什么魔法盾牌可以阻止一个非国家支持的实体制造同样的破坏。
Checkpoint的报告分析了伊朗铁路系统遭网络攻击的政治动机攻击,该攻击被怀疑是由非国家支持的行为体发动的。这次袭击恰好是针对伊朗的,但它也很可能发生在纽约或柏林。分析过程着眼于一些技术细节,并揭露这次攻击的幕后主使,从而将其与早些年其他几次出于政治动机的袭击联系起来。
Checkpoiont研究的重要发现
2021年7月9日和10日,伊朗铁路和道路和城市发展部系统成为了有针对性的网络攻击的对象。Check Point Research对这些攻击进行了调查,发现多项证据表明,这些攻击严重依赖于攻击者之前对目标网络的了解和侦察。
针对伊朗的网络攻击被发现在战术和技术上与此前针对叙利亚多家私营公司的活动相似,至少自2019年以来一直在进行。将这次行动与一个自称为反对派组织的威胁组织联系了起来,这个组织叫Indra(因陀罗)。
这些年来,攻击者在受害者的网络中开发并部署了至少3种不同版本的“擦除器”恶意软件,分别是Meteor、Stardust和Comet。从这些工具的质量、它们的操作方式以及它们在社交媒体上的存在来判断,Checkpoint发现因陀罗不太可能是由一个民族国家行为体操作的。
Checkpoint的分析报告详细描述了对工具以及底层参与者使用的TTP的技术分析。并与公众分享Yara规则和妥协指标的完整列表。
从这个Indra组织有有关文件来追踪的过程,比如恶意软件的执行过程,擦除器的主要功能、主要配置、配置的步骤、这一恶意软件的升级演进、与伊朗最近遭遇攻击事件的关联、早期对叙利亚网络的攻击关联等详细信息,以及披露的IoCs、YARA规则等,可参阅Checkpoint的详细分析报告。
在《伊朗铁路系统网络攻击元凶初现端倪》一文中,SentinelOne的安全研究人员偶然发现了一种迄今未知的数据清除恶意软件,它可能是本月早些时候针对伊朗铁路系统的破坏性网络攻击的一部分。SentinelLabs的研究人员能够重建攻击链的大部分,其中包括一个有趣的从未见过的擦除器软件。当时SentinelLabs还无法将攻击活动与先前确认的威胁组织联系起来,也无法将其与其他袭击联系起来。声称这个擦除器是在过去三年开发的,是为重用而设计的。为了鼓励进一步发现这一新的威胁行为者,研究人员共享了攻击指标,鼓励其他安全研究人员共同探寻真相。
认识因陀罗
Checkpoint的仔细研究不仅揭示了攻击的目标,还揭示了这些行动背后的组织的身份——一个以印度战神“因陀罗”(Indra)命名的组织。事实上,因陀罗并没有试图隐瞒他们对这些行动负有责任,并在多个地方留下了他们的签名。
攻击者在受害者被锁定的电脑上显示的图像宣布“我是因陀罗”,并承认对卡特吉集团的攻击负责。
因陀罗在受害者机器上设置的壁纸,声称对攻击负责,并指责卡特吉集团“支持恐怖分子”和“出卖灵魂”。
(因陀罗对其部署“彗星”(Comet)的攻击负责)
此外,除Meteor外,擦除器的所有样本都包含多次出现的字符串“INDRA”。Comet变体使用它作为新创建的Administrator帐户的用户名。但在Stardust上,它是一种惰性的神器,不参与执行。
(Stardust恶意程序内的Indra字符)
研究人员想知道这个因陀罗攻击组织是否在网上出现过,事实上,他们有。他们在不同的平台上运营多个社交网络账户,包括Twitter、Facebook、Telegram和Youtube。除其他信息外,这些账户还披露了对上述公司的攻击:
(Indra组织的推特账号承认对Arfada的攻击负责)
调查这些社交网络活动,人们可以了解该组织的政治意识形态和攻击动机,甚至可以了解该组织之前的一些行动。
因陀罗的官方twitter帐户状态的标题,“旨在将停止的恐怖QF及其凶残的地区代理”,他们宣称自己是非常专注于攻击不同的涉嫌与伊朗政权合作的公司,特别是与“圣城军”和真主党。他们的帖子都是用英语或阿拉伯语写的(这两种语言似乎都不是他们的母语),多数都是反对恐怖主义,或提供遭到该组织攻击的不同公司的文件泄露,这些公司被怀疑与伊朗Quads部队有关联。
在2019年9月发布的第一条信息中,INDRA声称成功攻击了Alfadelex公司,摧毁了他们的网络,并泄露了客户和员工的数据。
部分照片被张贴分布,一个人坐在电脑前观看图像时研究人员发现Comet在他们所使用的屏幕(一个只能想象他们如何感觉在那一刻)。另一张显示在alfadlex网站上的图片,与研究发现的用于攻击alfadlex、Katerji和Arfada的其他图片背景相同。
这张背景图片也出现在因陀罗Twitter和Facebook账户的封面照片上。
(因陀罗的推特账户上发布了攻击Alfadelex的截图)
(被感染的电脑显示了研究人员发现的攻击Alfadelex的照片)
因陀罗之前的攻击活动
总结因陀罗的社交网络活动,行动者声称对以下攻击负责:
2019年9月:位于叙利亚的货币兑换和转账服务公司Alfadelex Trading遭遇攻击。
2020年1月:叙利亚私营航空公司占翼航空(Cham Wings Airlines)遭遇攻击。
2020年2月和2020年4月:接管Afrada和Katerji集团的网络基础设施。这两家公司也都位于叙利亚。
2020年11月:Indra威胁要攻击叙利亚巴尼亚斯炼油厂,但尚不清楚是否实施了威胁。
2020年11月左右,因陀罗的所有账户都陷入了沉默。在这次行动之前研究人员没有找到任何其他行动的证据。
因陀罗和伊朗遭黑事件的关联
2019年和2020年针对叙利亚目标的一系列攻击,与针对伊朗网络的行动有很多相似之处。这些都是类似的工具,战术,技术和程序(TTP),以及攻击的高度针对性,他们让研究人员相信,因陀罗也要为最近在伊朗的攻击负责。
这些攻击都是针对与伊朗有关的目标,无论是2021年的伊朗铁路和伊朗公路部,还是2020年和2019年的卡特吉、Arfada、Alfadelex和其他叙利亚公司。因陀罗的推文和帖子清楚地表明,他们的目标是他们认为与伊朗有联系的实体。
Checkpoint分析的所有攻击中的多层执行流程——包括最近针对伊朗目标的攻击——使用脚本文件和归档文件作为传递的方式。这些脚本本身,尽管它们是不同的文件类型,但具有几乎相同的功能。
执行流程依赖于之前对目标网络的访问和侦察信息。在入侵伊朗目标的场景下,攻击者清楚地知道,为了公开传递信息,他们需要不影响哪些机器;此外,他们还可以访问铁路的Active Directory服务器,用来分发恶意文件。因陀罗进行侦察的另一个迹象是他们从Alfadelex的网络摄像头上截取的截图,显示办公室内有一台受感染的电脑。
擦除器是部署在上述所有攻击中受害者计算机上的最后有效载荷。流星、星尘和彗星是相同有效载荷的不同版本,没有迹象表明该工具曾被其他威胁行为者使用过。
研究人员分析的攻击背后的行动者并没有试图对他们的攻击保密。他们分享信息并展示了宣布攻击的图片。在针对伊朗目标的攻击中,这些信息不仅显示在受影响的电脑上,还显示在平台板上。
与之前的行动不同,Indra没有公开承认对伊朗的攻击负责。这可能可以用新攻击的严重性以及它们的影响来解释。针对叙利亚攻击,具体目标是私营公司,而针对伊朗铁路和公路和城市化部的攻击针对的是伊朗官方实体。此外,叙利亚的攻击几乎没有得到媒体的关注,而针对伊朗政府的攻击却在世界各地被广泛报道,据报道给伊朗人带来了一些悲伤。
结论
通过对这次针对伊朗的最新攻击进行分析,研究人员能够揭示其复杂的执行流程,以及最终“擦除器”组件的另外两种变体。这些工具此前曾被用于攻击叙利亚公司,威胁行动者因陀罗在其社交媒体账户上正式表示对此负责。虽然因陀罗选择不为最近针对伊朗的攻击负责,但上述相似之处暴露了两者之间的联系。从这次事件中可以吸取两个教训。
首先,匿名是一条单行道。一旦你为了公关和在Twitter上获得一些赞而牺牲了它,就不那么容易恢复了。你可以停止向全世界广播你的行动,你可能认为你已经在雷达下,但互联网记住,并给予足够的动机,它会去匿名你,即使你是一个坏蛋黑客激进分子威胁演员。
其次,应该更加担心那些完全有可能发生、但根据普遍共识“显然不会发生”的攻击。尽管网络犯罪、黑客行动主义、民族国家干预等等造成了诸多麻烦,但总体而言,攻击的程度和复杂性仍只是其全部潜力的一小部分;通常情况下,威胁行为者不会做X, Y, Z,即使他们完全可以。
像这样的情况,所谓的威胁行动者继续做X, Y, Z,应该会提高公众的集体焦虑水平。正如在报告开头所述,这次攻击发生在伊朗,但下个月,其他一些组织可能会对纽约发动类似的攻击,下个月又会对柏林发动攻击。没有什么能阻止它,除了威胁行动者有限的耐心、动机和资源,正如刚才清楚地看到的,这些有时毕竟不是那么有限。
最后,真正让人们后怕的是,就这样一个能力水平一般的“小毛贼”,也能干成让全球震惊的大事情。对付不了这等“小毛贼”,谈何应对网络战水准的“大玩家”。