据《The Record》报道,美国网络司令部周三透露,一个以网络间谍活动着称的黑客组织实际上是伊朗情报部门的一部分。美国网络司令部下属的国家网络任务部队宣布,这个名为“MuddyWater”的组织隶属于伊朗情报和安全部。这一说法标志着美国政府首次公开将这个多产的威胁行为者——其目标范围从学术界和旅游业到政府和电信运营商——与伊朗情报机构联系起来。“美国网络司令部已经介入,”J.A.SentinelOne首席威胁研究员Guerrero-Saade在推特上说,他指的是伊朗伊斯兰革命卫队。“MuddyWater属于伊朗的MOIS(不是某些人认为的IRGC)。”美国网络司令部与FBI合作,还将世界各地伊朗情报人员使用的多个开源恶意软件工具上传到流行的恶意软件存储库VirusTotal。“如果你看到这些工具的组合,伊朗MOIS演员MuddyWater可能在你的网络中,”美国网络司令部在十个条目的顶部警告说。“我们无情地发布恶意软件以保卫我们整个国家。公开披露恶意网络活动或行为者可以保护美国的利益和我们的合作伙伴。#Cyber??IsATeamSport,”美国网络司令部的官方Twitter帐户发推文说。美国网络司令部发言人在一份声明中拒绝透露该组织是如何发现这些恶意工具的,也拒绝透露样本是否由第三方提供。“我们不讨论CNMF团队发布的恶意软件样本的来源。其中一些恶意软件样本是已经在公共领域的其他恶意软件的变体——这一披露的独特之处在于它概述了伊朗的恶意网络行为攻击者可能通过使用恶意软件收集信息的总体情况。”MuddyWater,有时也被称为SeedWorm,至少从2015年开始就一直在进行间谍活动。上个月,赛门铁克的威胁猎手团队发布了一项研究,发现该组织在过去六个月中一直以中东和亚洲的电信运营商和IT服务组织为目标。研究人员得出结论,所涉及的目标和策略——攻击者依靠公开可用的恶意软件和远程管理和安全评估工具来窃取凭据,在网络中移动——“与伊朗赞助的行为者一致”,但没有归因于该活动给伊朗政府。在美国网络司令部强调的恶意软件样本中,有一些PowGoop的变体,这是一种伪造的谷歌更新机制。其中包括一个为攻击者提供命令和控制能力的变体,以及另外两个充当信标的变体,从受感染的网络中联系恶意基础设施。其他样本包括恶意JavaScript文件和一个版本的Mori后门。
