伊朗涉嫌黑客入侵一家欧洲能源公司VPNoverview.com

一家总部位于伊朗的国家支持的黑客组织涉嫌入侵了一家欧洲能源公司。据信该组织在其攻击中使用了名为PupyRAT的远程访问木马(RAT).


什么是PupyRAT

Pupy是一种主要使用python编写的开源RAT,可以使攻击者完全访问受害者的系统。它是跨平台的恶意软件,因此可以渗透到多个平台,即Windows,Linux,OSX和Android.

远程访问木马(RAT)是一种恶意软件,它使黑客能够监视和控制受害者的计算机或网络。它就像合法的远程访问程序一样,经常被技术支持人员用来帮助客户解决计算机问题.

尽管PupyRAT是一种开源恶意软件,但它主要与伊朗国家支持的黑客活动联系在一起。它与APT 33国家支持的黑客组织特别相关。 APT 33参与了过去对全球能源行业组织的攻击.

RAT是如何部署的?

RAT只能部署在先前受到威胁的系统上。在这种情况下,研究人员不知道PupyRAT的部署方式,但认为它是通过鱼叉式网络钓鱼攻击分发的.

鱼叉式网络钓鱼攻击针对的是单个收件人,而不是像正常的网络钓鱼攻击那样针对大量收件人。网络犯罪分子选择组织内的目标,并使用社交媒体和其他公共信息来了解有关其潜在受害者的更多信息。然后,他们制作了针对该人的虚假电子邮件.

先前的APT 33活动涉及攻击者选择潜在的受害者并赢得他们的信任,然后最终通过电子邮件将其发送给恶意文档。因此,研究人员认为在这种情况下可能使用了相同的部署方法.

侵犯能源公司的证据

Recorded Future的Insikt Group昨天报告说,他们发现了从2019年11月下旬到2020年1月5日与PupyRAT命令和控制(C2)服务器聊天的证据。.

Insikt Group的报告继续解释说:“虽然仅元数据并不能证明是一种折衷,但我们认为从目标邮件服务器到PupyRAT C2的大量通信和重复通信足以表明可能存在入侵。”

邮件服务器属于欧洲能源部门组织,负责协调欧洲能源资源的分配和资源配置。鉴于该组织的作用,这种攻击尤其令人关注,尤其是考虑到与伊朗有关的对能源行业ICS软件的入侵有所增加.

Cyber​​X工业网络安全副总裁Phil Neray表示:“鉴于欧洲能源基础设施存在广泛的跨境依赖性,这似乎是对手采取战略性举措,集中于一个集中目标,以影响多个国家的利益。同时,与攻击单个中央传输站而不是多个远程变电站的战略价值相似,就像俄罗斯威胁者在2016年乌克兰电网攻击中所做的相比,在2015年攻击中所做的那样。”

攻击者的目标

研究人员认为,这次针对欧洲能源行业公司的最新黑客攻击是一项侦察任务。据信,该任务旨在收集有关发电厂过程及其工业控制系统(ICS)的重要知识。攻击者还希望找出公司流程和关键基础架构中的弱点.

Recorded Future的战略威胁开发总监Priscilla Moriuchi解释说:“启用运营或破坏性攻击需要进行这种类型的长达数月的侦察,并深入了解这些公司官员的行为,并了解某种能力如何影响信息或能源分配资源。”

对于像伊朗这样的国家,这些国家涉嫌赞助这些黑客组织,在冲突情况下,此类知识可用于对抗对手。这些信息可用于发起网络攻击,使对手的关键部门瘫痪,例如电力,水和交通运输.

考虑到这一点,有趣的是记录黑客活动的日期。这些表明黑客攻击运动是在杀害伊朗将军Qassem Soleimani引起的地缘政治紧张之前开始的。因此,这次网络攻击不可能是对Soleimani暗杀的报复性攻击.

先前对关键基础架构的攻击

近年来,对ICS系统和关键基础架构的攻击一直在上升。原因是它们是比较容易的目标.

ICS系统和关键基础设施(如铁路和电厂)的主要问题在于,大多数系统是在考虑网络安全之前进行构建的。其中许多没有安全系统,而某些ICS系统仍然没有。然后在对它们进行安全系统改造后,并不总是很容易知道在哪里留下了漏洞。实际上,例如,许多ICS系统都充满漏洞.

对关键基础设施的最著名的攻击是在2012年使用恶意软件Stuxnet进行的。 Stuxnet是一种计算机蠕虫,专门针对可编程逻辑控制器(PLC)。这些使工业过程和控制机器的过程自动化.

研究人员认为,Stuxnet是由美国和以色列情报部门开发的,用于攻击伊朗的核炼厂。它既收集了情报,又摧毁了数千个用于浓缩铀的离心机.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map