伊朗黑客连续攻击80多家以色列企业

近日，勒索软件组织Pay2Key在推特上发文称，上周末成功入侵了以色列最大的国防承包商——以色列航空航天工业公司（IAI），并公布了该公司的内部数据。据报道，近期活跃的勒索软件组织Pay2Key已对80多家以色列企业进行了连环攻击。据最先发现Pay2Key的CheckPoint称，Pay2Key于上周一首次引起业界关注，上周报道称，勒索软件组织Pay2Key上周一公布了从英特尔Habana实验室获得的内部文件细节。后者是一年前被英特尔收购的以色列芯片初创公司。根据CheckPoint报告，虽然Pay2Key名称早在6月份就已在加密身份服务KeyBase.io上注册，但同名勒索软件直到10月份才开始活跃。在成功攻击IntelHabanaLabs后，人们注意到Pay2Key组织索要的赎金通常在7到9个比特币之间，约合135,000到173,000美元。真正的动机。直到最近，在Pay2Key连续攻击80多家以色列公司后，人们才意识到Pay2Key的攻击带有国家黑客的意识形态色彩。周一，Pay2Key在其推文（下图）和网站上披露了以色列国防承包商的内部数据，网络安全专家称这是对以色列的攻击明显升级。CheckPoint认为Pay2Key团队成员是伊朗人，因为过去的赎金支付是通过Excoino支付的，Excoino是一种伊朗加密货币交易所，仅供拥有有效伊朗电话号码和伊朗居民身份代码的个人使用。与默默发财的常规勒索软件组织不同，Pay2Key如此高调，它甚至在上周末发布了一项民意调查，询问其追随者哪个以色列组织拥有最强大的网络安全防御：以色列卫生部、交通部或IAI？然后在上周日晚上，Pay2Key发布了另一条推文，声称是后者(IAI)。（下图）从Pay2Key在暗网发布的信息来看，该组织确实成功进入了IAI内部系统，系统内部域名为ELTA.co.il。Pay2Key还公布了约1000名IAI用户的详细资料，以证明其“战绩”。泄露的信息本身并不是非常敏感，包括员工姓名和内部计算机注册表等内容，而且Pay2Key没有要求赎金，所以这可能是攻击者可能无法再访问的过去攻击中的数据系统。但这足以证明，在某个时间段内，黑客确实可以访问到IAI内部系统的主要文件目录，包括武器研发的技术文档和内部资料。IAI尚未做出回应，但知情人士表示，他们目前并不担心泄密期间敏感信息被盗。作为兼营民用航空业务的国防承包商，IAI是以色列最大的国有企业，拥有约16,000名员工。IAI今年上半年的收入为21亿美元，在反导系统、无人机和精确制导武器方面的净利润为4800万美元，主要用于出口。IAI也是竞标以色列2024月球探测器项目的两家公司之一。网络安全顾问EinatMeyron认为，尽管Pay2Key的攻击力度很大，但没有必要过于恐慌：“并非每次黑客攻击都意味着完全访问。国防机构拥有不同的网络，可以访问封闭的机密系统。人们通常也没有在线访问公共互联网。Pay2Key是否可以访问机密服务器？遗憾的是，我们只能拭目以待。但凭借Pay2Key高风险的做事风格，任何错误或漏洞都会立即被炫耀。”两家以色列网络安全公司CheckPoint和Whitestream的Pay2Key于11月首次发现并进行了联合研究。最初，研究人员仅将Pay2Key视为一个不断壮大的勒索软件组的新成员。勒索软件攻击通常遵循类似的行为模式：以公司为目标，加密和窃取文件，然后要求赎金以“释放”文件。而Pay2Key则显得有些另类，索取的赎金很少，行事高调，乐于展示技能和成果。甚至在追踪到伊朗之前，CheckPoint就在其安全报告中警告说，攻击者拥有不同于普通罪犯的“高级能力”。CheckPoint网络情报主管LotemFinkelstein周四透露，在过去曝光的一些案例中，Pay2Key成功地“在一小时内控制了整个网络”，而大多数勒索软件犯罪需要数小时甚至数小时天拉过。Finkelstein说：“这是只有业内顶级黑客才具备的技能。”Pay2Key还具有所谓的“操作安全”（或OpSec）功能，它可以很好地覆盖痕迹。这是一个展示可疑技能的新勒索软件团队，就好像他们不需要任何练习一样，就好像根本没有学习曲线一样。”Whitestream的CEOItsikLevy认为：“这是一支技术先进、非常敬业的团队。近期的连环攻击浪潮无疑是一个里程碑，将给以色列的信息安全管理方式带来巨大的冲击和变革。根据威胁情报公司ClearSky的说法，Pay2Key行动背后的组织似乎是伊朗政府资助的黑客组织FoxKitten（也称为Parisite和PIONEERKITTEN），通常是国家黑客组织APT33（Elf、Magnallium）和APT34（OilRig，Greenbug）。攻击者以使用各种开源和自行开发的攻击工具而闻名。观察到的攻击包括对IP应用程序交付控制器(ADC)的BIG攻击。安全研究人员发现，Pay2Key勒索软件不需要连接到命令和控制(C&C)服务器即可运行。这些攻击针对的漏洞包括CVE-2019-11510(PulseSecure)、CVE-2018-13379(FortinetFortiOS)、CVE-2018-1579、CVE-2019-19781(CitrixNetScaler)和CVE-2020-5902(F5BIG-知识产权）。此外，还针对MicrosoftExchangeServer和RDP账户【本文为专栏作者“安安牛”原创文章，转载请通过安安牛（微信公众号id：gooann-sectv）获得授权】点此前往查看该作者更多好文章