查看原文
其他

伊朗黑客组织“OilRig行动”瞄向美国政府与能源网

2016-10-09 E安全 E安全

E安全10月9日讯 伊朗黑客此前攻击沙特阿拉伯的组织机构,现如今将目标瞄向其它国家,包括美国,这项黑客行动被认定为“OilRig行动”(OilRig Campaign)。

除了扩大攻击范围,该黑客组织持续改进软件工具。Palo Alto Networks的研究人员监视该组织一段时间,并报告称,观察到威胁攻击者对沙特阿拉伯的金融机构、技术公司以及国防行业发起攻击。这项行动被称为“OilRig”。经过追踪,该公司发现武器化Microsoft Excel电子表格名为 “Clayslide”,后门被称为“Helminth”。

5月,安全公司“火眼”(FireEye)分析并证明该黑客组织曾对银行发起攻击。Security Week报道称,Palo Alto Networks发现该黑客组织还攻击了卡塔尔一家企业和美国、以色列和土耳其的政府机构。

OilRig的威胁攻击者通过鱼叉式网络钓鱼电子邮件和启用宏的恶意Excel文件散播Helminth。例如,就拿土耳其某政府机构来说,这类Excel文件专门用来复制某航空公司的登录门户。

Helminth恶意软件存在4个变种,能通过HTTP和DNS与C&C服务器通信,可以获取被感染设备上的信息,并通过远程服务器下载其它文件。Helminth恶意软件的其中一个类型依赖VBScript和PowerShell脚本;另一个作为可执行文件进行部署—该类型通过名为“HerHer”木马传送,能记录击键。

PaloAlto Networks发布的报告指出,“这个Zip文档通过未知密码加密,但我们知道其包含名为oboffer.chm和thumb.db的两个文件。humb.db文件的名称和文件大小(368128字节)与安装已知Helminth 可执行样本的HerHer木马一致(SHA256: fb424443ad3e27ef535574cf7e67fbf9054949c48ec19be0b9ddfbfc733f9b07)。”

至于威胁攻击者的归属地,研究人员已经找到多条线索,其结果指向伊朗个体—虽然研究人员承认数据很容易伪造。Palo Alto Networks一直在监视伊朗黑客组织(被认为是)的活动。其中一个组织使用被称为“Infy”的恶意软件。Palo Alto Networks于今年夏天发布报告称,破坏了与Infy有关的网络间谍活动。

8月,该公司发现伊朗黑客攻击了通讯应用Telegram,访问近1500万伊朗用户的账号。这些被入侵的账号主要属于伊朗活动分子、记者和其它知名度较高的个人。据报道,此次攻击的目标是Telegram的一次性短信激活,也非端对端加密。

当用户通过新设备登录应用时,Telegram通过短信息发送验证码。然而,短信息被电话公司拦截并售卖给黑客,黑客之后便能访问用户的联系人列表和信息。

最近,恶意黑客攻击能源行业的事件引发担忧,RegBlog指出:

“网络安全威胁是许多联网建筑和电网面临的真实风险。据美国国土安全部的一份报告显示,虽然能源行业只占美国GDP的5%-6%,但该行业在所有网络攻击中占比高达近32%。

近期的事件表明供电系统存在漏洞,这为出台法案的网络措施铺平道路。3月,纽约南区起诉伊朗黑客组织2013年多次入侵纽约一个小型水坝,攻击多个大型金融企业并控制水位。这一事件最终除了给客户带来不便之外,并未带来重大损失,但它却表明潜在威胁不可小觑。

因此,伊朗威胁攻击者已逐渐开始将目标从银行移向能源网。事实上,黑客能访问关键系统,这让人忧心忡忡。这类入侵事件具有重大且广泛的破坏影响力。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存