您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
解讀伊朗黑客利用VPN漏洞入侵全球企業(yè)內(nèi)網(wǎng)事件
伊朗黑客組織這幾個(gè)月以來(lái)一直在攻擊企業(yè)VPN,現(xiàn)在正打算通過(guò)地下論壇向其他黑客出售這些被入侵企業(yè)內(nèi)部網(wǎng)絡(luò)的權(quán)限,以此謀得巨額利益。
他們針對(duì)的企業(yè)遍布IT、電信、油氣、航空、政府和安全行業(yè)。
伊朗國(guó)家黑客正在地下論壇出售受陷企業(yè)的訪問(wèn)權(quán)限
2020年9月1日,著名網(wǎng)絡(luò)安全公司Crowdstrike發(fā)布報(bào)告稱,一個(gè)由伊朗國(guó)家資助的黑客組織正在地下黑客論壇上出售受陷企業(yè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限。Crowdstrike安全公司將該黑客組織稱為 Pioneer Kitten,它也被稱為“Fox Kitten”或“Parisite”。
1、黑客組織曾多次入侵企業(yè)網(wǎng)絡(luò)
Crowdstrike安全公司認(rèn)為這一黑客組織是受伊朗政府資助的,并且他們?cè)?019年多次通過(guò)VPN和網(wǎng)絡(luò)設(shè)備中的多個(gè)漏洞入侵企業(yè)網(wǎng)絡(luò),例如:
Pulse Secure “Connect”企業(yè) VPN中的漏洞 (CVE-2019-11510)
運(yùn)行 FortiOS 的Fortinet VPN 服務(wù)器中的漏洞 (CVE-2019-1579)
Citrix “ADC”服務(wù)器和 Citrix 網(wǎng)絡(luò)網(wǎng)關(guān)漏洞 (CVE-2019-19781)
F5 Networks BIG-IP加載平衡器 (CVE-2020-5902)
根據(jù)網(wǎng)絡(luò)安全公司ClearSky和Dragos的報(bào)告,Pioneer Kitten 組織一直在使用如上這些漏洞攻陷網(wǎng)絡(luò),植入后門(mén),隨后為其它伊朗黑客組織(如 APT33、Shamoon、ATP34 或 Chafer)提供訪問(wèn)權(quán)限。
然后,這些其他黑客組織會(huì)進(jìn)入漏洞提供的后門(mén),通過(guò)使用更高級(jí)的惡意軟件和漏洞在網(wǎng)絡(luò)上橫行霸道,然后搜索并竊取伊朗政府可能感興趣的敏感信息,最后又借此來(lái)橫向擴(kuò)展Pioneer Kitten所設(shè)法獲得的“初始訪問(wèn)權(quán)限”。
可以看得出,他們?cè)?019年做的是有預(yù)謀、有組織、環(huán)環(huán)相扣的黑客行動(dòng)。
2、黑客組織在地下論壇出售企業(yè)網(wǎng)絡(luò)訪問(wèn)權(quán)限
而就在2020年9月的第一天,這一黑客組織又被發(fā)現(xiàn),他們?cè)诤诳驼搲铣鍪蹖?duì)受陷企業(yè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限,并且這一行為至少是從今年7月開(kāi)始的。
Crowdstrike安全公司認(rèn)為這個(gè)黑客組織是在試圖讓他們的收入來(lái)源多樣化,并且將一些對(duì)伊朗情報(bào)機(jī)構(gòu)沒(méi)有任何價(jià)值的漏洞,進(jìn)行回收再利用,二次開(kāi)發(fā)變現(xiàn),以獲得高昂利潤(rùn)。
伊朗國(guó)家黑客組織的常見(jiàn)目標(biāo)通常包括位于美國(guó)、以色列和中東地區(qū)的其它國(guó)家。
目標(biāo)行業(yè)通常包括國(guó)防、醫(yī)療、技術(shù)和政府行業(yè)。其它可能并非伊朗政府黑客的目標(biāo)和范圍,很可能是在地下黑客論壇上出售。
當(dāng)前,“初始訪問(wèn)經(jīng)紀(jì)人”(如 Pioneer Kitten)的最大客戶群通常是勒索軟件團(tuán)伙。
是的,你沒(méi)看錯(cuò),之所以稱之為經(jīng)紀(jì)人,是因?yàn)楝F(xiàn)在黑入企業(yè)網(wǎng)絡(luò)并植入后門(mén)已經(jīng)成為了一門(mén)生意。
伊朗國(guó)家黑客濫用VPN漏洞,入侵全球企業(yè)內(nèi)網(wǎng)植入后門(mén)
伊朗國(guó)家黑客其實(shí)早就被爆出來(lái)過(guò),他們一直在入侵企業(yè)VPN服務(wù)器,在世界各地的公司中植入后門(mén)。
特別是2019年,這一年值得引起所有人的關(guān)注。
因?yàn)榇罅科髽I(yè)VPN服務(wù)器被發(fā)現(xiàn)存在重大安全漏洞,比如Pulse Secure、Palo Alto Networks、Fortinet和Citrix出售的VPN服務(wù)器。
而今年2月的一份報(bào)告更是顯示,受伊朗政府資助的黑客組織在2019年以利用VPN漏洞作為首要任務(wù),一旦這些漏洞公開(kāi),他們就會(huì)滲透并在世界各地的公司植入后門(mén)。
報(bào)告指出,伊朗國(guó)家黑客針對(duì)的企業(yè)遍布“IT、電信、油氣、航空、政府和安全行業(yè)”。
1、某些攻擊僅發(fā)生在漏洞公開(kāi)數(shù)小時(shí)后
報(bào)告指出,伊朗黑客組織同樣精通黑客技術(shù),而且和俄羅斯、朝鮮國(guó)家黑客組織等一樣足智多謀,這一點(diǎn)和人們一貫的認(rèn)識(shí)是不同的。
ClearSky公司指出,“伊朗 APT*組織已經(jīng)開(kāi)發(fā)出良好的技術(shù)攻擊能力,而且能夠在相對(duì)較短的時(shí)間內(nèi)利用1天的漏洞。”該公司指出,在某些實(shí)例中發(fā)現(xiàn),VPN 缺陷遭公開(kāi)數(shù)小時(shí)后,伊朗國(guó)家黑客就能利用它們發(fā)動(dòng)攻擊。(注:* APT代表高級(jí)持續(xù)性威脅,是一個(gè)經(jīng)常用來(lái)描述民族國(guó)家黑客組織的術(shù)語(yǔ)。)
在2019年,伊朗黑客組織迅速利用VPN 漏洞讓漏洞變成可以攻擊企業(yè)網(wǎng)絡(luò)安全的武器,VPN漏洞如下:
Pulse Secure“Connect” VPN (CVE-2019-11510) 、Fortinet FortiOS VPN 漏洞 (CVE-2018-13379) 和 Palo Alto Networks“Global Protect” VPN 漏洞 (CVE-2019-1579)。
雖然對(duì)這些系統(tǒng)的攻擊始于去年夏天,當(dāng)時(shí)有關(guān)這些錯(cuò)誤的詳細(xì)信息已公開(kāi),但到2020年這些攻擊仍在繼續(xù)。
另外,隨著其它 VPN 缺陷遭公開(kāi),伊朗黑客組織還將這些漏洞利用到攻擊活動(dòng)中(即CVE-2019-19781,這是Citrix“ ADC” VPN中披露的漏洞)。
2、入侵企業(yè)目標(biāo)植入后門(mén)
報(bào)告指出,這些攻擊的目的是入侵企業(yè)網(wǎng)絡(luò),在內(nèi)部系統(tǒng)中橫向移動(dòng)并在后續(xù)日期植入后門(mén)。
第一階段的攻擊(攻陷 VPN)針對(duì)的是 VPN,第二階段(橫向移動(dòng))涉及全面收集工具和技術(shù),這說(shuō)明近年來(lái)伊朗黑客組織變得高級(jí)。例如,它們會(huì)濫用長(zhǎng)久已知的技術(shù),通過(guò)“StickyKeys”訪問(wèn)性工具在Windows 系統(tǒng)上獲取管理員權(quán)限。
它們還利用開(kāi)源的黑客工具如 JuicyPotato 和 Invoke the Hash,而且使用合法的系統(tǒng)管理員軟件如 Putty、Plink|Ngrok、Serveo 或 FRP。
另外,黑客如果找不到開(kāi)源工具或本地工具助力,則會(huì)開(kāi)發(fā)定制化惡意軟件。報(bào)告指出發(fā)現(xiàn)了伊朗黑客組織使用的工具,如:
STSRCheck:自開(kāi)發(fā)數(shù)據(jù)庫(kù)和開(kāi)放端口映射工具
POWSSHNET:自開(kāi)發(fā)的用于 RDP-over-SSH 隧道的后門(mén)惡意軟件
Custom VBScripts:用于從命令和控制服務(wù)器下載 TXT 文件并將這些文件統(tǒng)一到可移植的可執(zhí)行文件
cs.exe 上基于套接字的后門(mén):用于開(kāi)放硬編碼 IP 地址基于套接字連接的一個(gè) EXE 文件
Port.exe:掃描 IP 地址預(yù)定義端口的工具
3、多個(gè)黑客組織統(tǒng)一行動(dòng)
報(bào)告指出,伊朗國(guó)家黑客組織似乎互相協(xié)作并統(tǒng)一行動(dòng),這種行為模式此前是未曾出現(xiàn)的。
之前關(guān)于伊朗黑客活動(dòng)的報(bào)告詳細(xì)說(shuō)明了活動(dòng)的不同集群,通常是單個(gè)黑客組織所為。報(bào)告強(qiáng)調(diào)稱,針對(duì)全球 VPN 服務(wù)器的攻擊似乎至少由三個(gè)伊朗黑客組織聯(lián)合所為,即 APT33(Elfin、Shamoon)、APT34 (Oilrig) 和APT39 (Chafer)。
4、數(shù)據(jù)清洗攻擊
當(dāng)前,這些攻擊的目的似乎是執(zhí)行偵察和為實(shí)施監(jiān)控活動(dòng)植入后門(mén)。
然而,報(bào)告指出這些受感染企業(yè)網(wǎng)絡(luò)的所有訪問(wèn)權(quán)限未來(lái)也可被武器化,用于部署數(shù)據(jù)清洗惡意軟件,從而蓄意破壞企業(yè)并使其宕機(jī),導(dǎo)致業(yè)務(wù)受損。
這些場(chǎng)景是完全有可能發(fā)生,而且也說(shuō)得通的。
自2019年9月以來(lái),兩款新型數(shù)據(jù)清洗惡意軟件(ZeroCleare 和 Dustman)就已遭披露并被指和伊朗黑客組織有關(guān)。
另外,報(bào)告指出,并不排除伊朗國(guó)家黑客組織可能利用了受陷企業(yè)訪問(wèn)權(quán)限從而在客戶端實(shí)施供應(yīng)鏈攻擊的可能性。
這一理論的支持事實(shí)是,2月早些時(shí)候,F(xiàn)BI 警告美國(guó)私營(yíng)企業(yè)警惕針對(duì)軟件供應(yīng)鏈企業(yè)的攻擊,“包括支持全球能源產(chǎn)出、傳輸和分發(fā)的工控系統(tǒng)的實(shí)體”。
工控和能源行業(yè)過(guò)去一直是伊朗國(guó)家黑客組織的傳統(tǒng)攻擊目標(biāo)。
FBI 在這份警告中還說(shuō)明了攻擊中所部署的惡意軟件和 APT33所使用代碼之間的關(guān)聯(lián),強(qiáng)有力地證明了伊朗黑客可能是這些攻擊幕后黑手的可能性。
另外,報(bào)告還指出,針對(duì)巴林國(guó)家石油公司 Bapco 的攻擊也使用了相同的“攻陷 VPN →橫向移動(dòng)”的技術(shù)。
ClearSky安全公司警告稱,攻擊過(guò)去數(shù)月時(shí)間后,最終修復(fù)其 VPN 服務(wù)器的公司應(yīng)該掃描內(nèi)網(wǎng)找到攻陷跡象。
報(bào)告中還提出了安全團(tuán)隊(duì)可用于掃描日志和內(nèi)部系統(tǒng)以發(fā)現(xiàn)伊朗黑客組織入侵跡象的受陷指標(biāo) (IOCs)。
5、新型 VPN 缺陷
ClearSky在報(bào)告總結(jié)部分指出,預(yù)計(jì)伊朗國(guó)家黑客組織將在新型 VPN 缺陷遭公開(kāi)后尋找利用它們的機(jī)會(huì)。也就是說(shuō)預(yù)計(jì)伊朗國(guó)家黑客組織很可能會(huì)在未來(lái)利用 SonicWall SRA 和 SMA VPN 服務(wù)器,因?yàn)閯偛痪们鞍踩芯繂T曾發(fā)布了關(guān)于影響這兩款產(chǎn)品的六個(gè)漏洞的詳情。
總結(jié)
這幾年,伊朗國(guó)家黑客已被爆出多次濫用企業(yè)VPN漏洞,有目的地入侵全球企業(yè)內(nèi)網(wǎng)并植入后門(mén),還將訪問(wèn)權(quán)限公然掛在暗示中販賣(mài)以獲利。
這意味著隨著互聯(lián)網(wǎng)時(shí)代的到來(lái),高科技技術(shù)給人們帶來(lái)方便的同時(shí),背后是無(wú)數(shù)的漏洞攻擊帶來(lái)的網(wǎng)絡(luò)信息安全隱患,這一隱患應(yīng)引起我們的高度重視。
原文來(lái)源:秦安戰(zhàn)略