FireEye發現伊朗Ajax Security Team駭客組織於Stuxnet攻擊事件後朝進階性威脅攻擊發展
【台北訊,2014 年5月20日】最新型網路攻擊防護領導廠商FireEye®公司 (NASDAQ: FEYE)發布Operation Saffron Rose研究報告,內容詳述疑似由伊朗網路間諜組織發起的活動。FireEye研究員將該組織命名為Ajax Security Team。2009年,該組織的攻擊活動以網站為主,至今已發展成以伊朗反對派與美國國防組織單位為目標的成熟組織。此份報告指出自2010年伊朗遭受重大網路攻擊後,Ajax的攻擊手法與伊朗境內和鄰國的進階性持續威脅(APT)組織更加一致。
「伊朗駭客組織的發展與政府壓制反對派並加強攻擊能力的策略不謀而合,」FireEye資深威脅情報分析師Nart Villeneuv表示。「除了攻擊活動日益激烈外,伊朗網路威脅組織也逐漸朝網路間諜發展。這些攻擊者的目的不再只是宣傳他們的信念,而是針對鎖定目標的機器進行詳細偵查與控制,為長期的攻擊行動鋪路。」
Operation Saffron Rose的攻擊目標包括伊朗反對派與美國國防組織單位。FireEye實驗室最近發現Ajax Security Team對美國國防產業的企業發動許多網路間諜活動。該組織也對使用Proxifier或Psiphon等翻牆軟體的伊朗用戶發動攻擊。
目前尚無法定論Ajax Security Team是獨立團體或受命於政府,不過該組織使用的惡意程式工具並無法從市面上取得,而且也非其他攻擊者所用的工具。該組織利用各種社交工程技巧引誘目標上當,再透過惡意程式感染他們的系統。雖然FireEye實驗室尚未發現Ajax Security Team對受害者使用零時差攻擊,但該組織成員曾經使用可公開取得的攻擊程式碼來破壞網站。
FireEye在分析偽裝成Proxifier或Psiphon的惡意程式時,在某命令與控制伺服器(CnC)上發現77個受害者。在分析這些受害者資料時,FireEye發現許多目標的時區都設定為伊朗標準時間,或是語言設定為波斯語。
以下是這些受害者的資料分析:
- 44個受害者的時區設定為伊朗標準時間,其中37個的語言設定為波斯文。
- 在33個非使用伊朗標準時間的受害者中,10個的語言設定為波斯文。
- 12個受害者的系統安裝或執行了Proxifier或Psiphon軟體(每個受害者的系統語言都設定為波斯文,而且其中11個的時區都是伊朗標準時間)。
2009年,美國總統專用直升機「海軍一號」的資料出現在伊朗某檔案共享網路中。自此,伊朗便被公認是進階網路攻擊的主要國家1。2010年,伊朗網軍攻擊了推特與中國的百度搜尋引擎,將使用者導向伊朗網軍頁面2。2013年,華爾街日報指出伊朗攻擊者加強對美國重要基礎架構的攻擊3。去年,一個名為Izz ad-Din al-Qassam的組織發動了Operation Ababil,這是以美國金融機構為目標發動的一系列DDoS攻擊,包括紐約證券交易所4。
如要閱讀完整報告,請至此處。如要閱讀相關部落格文章,請至此處。
1資料來源:海軍陸戰隊時報《Source in Iran views Marine One blueprints》,Borak, D.著(2009年3月3日出版)
2資料來源:富比世雜誌《Baidu Hijacked By Cyber Army》,Wai-yin Kwok, V.著(2010年1月13日出版)
3資料來源:華爾街日報《Iran Hacks Energy Firms, U.S. Says》,Gorman, S. & Yadron, D. 著(2013年5月23日出版)
4資料來源:SC雜誌《Hacktivists plan to resume DDoS campaign against U.S. banks》,Walker, D.著(2013年3月8日出版)
關於FireEye
新世代網路攻擊防護領導先鋒FireEye®,秉持著防護企業免於網路攻擊的使命。網路威脅日趨複雜,並可輕易突破新世代防火牆、入侵防禦系統、防毒軟體與安全閘道等傳統特徵碼的安全防禦機制,對企業網路造成重大損害。FireEye平台提供即時、動態的威脅防護,無須惡意程式特徵碼就能為企業組織提供包括網路、電子郵件和檔案在內各種主要威脅以及在攻擊生命週期的個別階段進行保護。FireEye平台核心為虛擬執行引擎,搭配動態威脅情報網路,即時幫助企業辨識與封鎖各種網路攻擊,包括Web、電子郵件、行動裝置與檔案型網路攻擊,以達到保護企業資產的目標。FireEye平台已部署於全球60多個國家,並獲得2,200多個客戶與合作夥伴的採用。其中有超過130家的財星500大企業已採用此平台。