安全第一快报伊朗黑客要上天发起攻击长

白癜风治疗方法 http://m.39.net/pf/bdfyy/tslf/

今天的安全第一快报，

安妹和大家谈一谈

有关中东地区黑客组织的网络攻击。

大安全时代，网络安全，是一个严肃的话题，

可能在谈论时有点枯燥乏味，

不过我们尽量谈论时用严肃的态度来传递客观的信息。

本文看完约8分钟，欢迎观赏！

电影指环王中，

失去肉身的魔王索伦幻化成了一只魔眼，

与魔戒相通，拥有着可以毁灭一切的力量。

电影和游戏中我们常见这样的桥段，

正邪两个黑客巅峰对决，

邪恶的黑客向正义一方的黑客植入了病毒，

而聪明的“正义黑客”抓住了“邪恶黑客”的马脚，

顺藤摸瓜黑了回去。

最后黑恶势力的服务器被瘫痪，正义势力取得胜利。

可现实生活中，正邪黑客之间的互相攻击会出现吗？

如果我被黑客攻击了，我能反过来攻击他吗？

今天讨论的话题有关中东地区黑客组织的网络攻击行为时，

许多人会想到伊朗的间谍组织。

例如著名的SHAMOON（又名Disttrack），

该组织初期的攻击目标在波斯湾周边地区。

然而，在过去的几年中，

有安全公司一直在跟踪一个单独但鲜为人知的、

具有潜在破坏能力的、

被怀疑与伊朗有关的网络间谍组织，

被称之为APT。

分析表明，APT的活动踪迹至少可以追溯至年，

该组织很可能是为伊朗政府工作。

近日，美国网络安全公司火眼（FireEye）最近披露了一个网络监控组织攻击位于美国、沙特阿拉伯和韩国的航空航天、国防和能源组织机构。

一个自称为APT的伊朗黑客组织

至少从年起就针对关键基础设施、

能源和军事部门发动攻击，

以此收集情报窃取商业机密。

美国网络安全公司火眼（FireEye）对媒体说，自年首次发现伊朗人对美国国务院进行网络攻击以来，伊朗网络间谍活动发展迅速，实力大增。目前在调查对西方政府、公司的网络袭击案件中，伊朗已成为和俄罗斯并肩的首要怀疑对象。火眼公司还指出有证据表明APT代表伊朗政府开展行动。

火眼（FireEye）：成立于年，总部位于美国加利福尼亚州，是第一家由美国国土安全部颁发认证的网络安全公司，主要提供用于应对高级网络威胁的自动威胁取证及动态恶意软件防护服务，如先进持续性威胁（APT）和鱼叉式网络钓鱼（Spearphishing）。

该威胁组织被安全公司火眼命名为APT，

至少从年起便开始活动了。

6年年中，

火眼发现了该组织针对航空产业的攻击行为，

军航及民航均有涉及，

与石化产品有联系的能源公司也在该组织目标范围内。

伊朗曾遭到一系列网络攻击：

0年，伊朗离心机被“震网”病毒破坏，幕后黑手为美国、以色列，旨在打击伊朗核项目；

1年，伊朗一个导弹设施爆炸，美国媒体归因于电脑病毒；

2年4月，伊朗哈尔克石化公司受到网络攻击，为此德黑兰下令暂时断开哈尔克石油设施以及其他一些石化企业的网络连接。

......

APT全球范围内攻击目标概略图

具体讲，这些网络间谍盯上了一家美国航空航天领域的公司，一家持有航空控股的沙特阿拉伯企业集团，一家涉及炼油和石化产品的韩国公司。最近的攻击中，黑客利用一家沙特阿拉伯石化公司的职位空缺，吸引韩国和沙特公司的雇员上钩。

火眼在其博客中写道：“根据我们的评估，针对沙特阿拉伯航空航天领域多家公司下手，指示出APT可能试图获取沙特阿拉伯的军事航空航天能力情报，以增强伊朗国内航空航天能力，或支持伊朗面对沙特阿拉伯的军事及战略决策。”

“

我们认为，以沙特公司为目标，是为了获得区域竞争对手的情报；而对韩国公司下手，可能是因为韩国最近与伊朗石化产业的合作，以及韩国与沙特石化公司的联系。

火眼表示，该网络间谍组织去年发送了数百封鱼叉式网络钓鱼邮件。他们设置了看起来像是隶属沙特航空企业及其国际合作伙伴的多个域名，包括Alsalam飞机公司、波音和诺格航空阿拉伯公司。

APT向航空航天行业公司工作的员工发送鱼叉式网络钓鱼邮件。这些邮件通常伪装成职位招聘的诱惑受害者目标打开，邮件中的链接指向恶意的HTML应用程序链接（.hta）文件，这个.hta文件中包含工作岗位的描述和一个链接（指向热门的合法的求职网站，工作岗位与攻击目标相符合）。

如下图所示，对用户来说，文件似乎是引用了一个良性的合法的职位介绍；然而，事实上，这个.hta文件还植入了恶意代码，会自动下载一个APT定制的后门程序。

APT使用ALFATEaMShell(又名ALFASHELL)作为内置钓鱼模块，ALFASHELL在6年是公开可用的，能够有针对性的向受害目标发送鱼叉式网络钓鱼邮件。

许多的钓鱼邮件看起来似乎是合法的：

攻击者精心设计了特定的工作岗位和工资待遇，

提供一个链接将受害者引到一个伪造的就业网站，

甚至还伪造了公司宣称的“机会均等”的雇用声明。

然而，在少数情况下，APT操作者使用了未经修改的钓鱼模块的默认值。这些似乎是操作失误，如果发送了使用默认值的钓鱼邮件，几分钟后APT操作者会再次向同一收件人发送一个移除了默认值的电子邮件。

如下图所示，ALFAShell中钓鱼模块的“虚假邮件”的模版包含一些默认值，如发件人的电子邮件地址（solevisible

gmail[.]

转载请注明：http://www.shatealabo.com/sbly/5059.html