美国指控3名涉嫌有国家支持的伊朗黑客在2015-2019年窃取航空航天和卫星技术的敏感信息,详细说明了鱼叉式网络钓鱼攻击

2020-09-18 06:59:28

美国官员周四加大了对伊朗黑客的打击力度,制裁了德黑兰一个有国家背景的黑客团队,指控三名伊朗人窃取航空航天和卫星技术的敏感信息,并曝光了黑客最喜欢的工具和策略。

指控:根据最新公布的起诉书,在2015年7月至2019年2月期间,赛义德·普尔卡里姆·阿拉比(Pourkarim Arabi)、穆罕默德·礼萨·埃斯帕加姆(Mohammad Reza Espgham)和穆罕默德·巴亚蒂(Mohammad Bayati)针对美国和外国公司的1800多个用户账户,包括航空航天和卫星技术部门的员工,以及美国、英国、澳大利亚、以色列和新加坡的“国际政府组织”的工作人员。

检察官声称,这三名男子是在伊朗伊斯兰革命卫队的“指示”下实施入侵的,阿拉比是该部队的成员。这三人都留在伊朗。

他们是如何做到的:据称,黑客冒充目标行业的真实美国公民,并使用鱼叉式钓鱼信息诱骗员工下载恶意软件。根据司法部的一份声明,一旦恶意软件解锁了对受害者电脑和他们公司网络的访问,黑客据称就从受害者公司窃取了“敏感的商业信息、知识产权和个人数据,包括一家卫星跟踪公司和一家卫星语音和数据通信公司”。

起诉书描述了他们如何使用Metasploit和MimiKatz等常见黑客工具在受害者网络上植入后门,收集密码并赋予自己管理员权限。

制裁:财政部将与伊朗有关联的组织高级持续威胁39(APT39),以及45名“相关个人”和一个名为拉纳情报计算公司(Rana Intelligence Computing Co)的幌子列入制裁名单。财政部表示,通过这家公司,伊朗“实施了长达一年的恶意软件活动,目标是伊朗持不同政见者、记者和旅游行业的国际公司。”已经受到制裁的伊朗情报和安全部控制着APT39。

态势感知:同样在周四,联邦调查局发布了警报,提供了有关APT39和两名新受到指控的伊朗人的恶意软件和策略的更多信息。APT39警报描述了该组织为利用Visual Basic脚本和AutoIT脚本语言创建的恶意软件、模仿Mozilla Firefox的恶意软件、恶意Android应用程序包和其他工具。

战略观点:新的指控、制裁和警报既反映了特朗普政府宣传伊朗侵略行为的愿望-周三宣布的另一份起诉书也推进了这一目标-也反映了国家安全机构更积极的网络威慑努力。周三,FBI局长克里斯托弗·雷(Christopher Wray)表示,FBI希望停止与黑客“打地鼠”的游戏,并“以新的方式看待这场战斗”。他在CISA网络安全峰会上表示:“我们希望让黑客和犯罪分子更难、更痛苦地做他们正在做的事情。”