安全公司Cylance爆料,伊朗黑客组织“手术刀(Operation Cleaver)”正在全球范围内攻击航空、能源行业和国防领域。“手术刀”由伊朗政府赞助,在它的攻击目标中目前有10个是美国重要基础设施。
安全研究人员预测该黑客组织的攻击动机很可能是报复美国曾对伊朗造成损伤的震网病毒(Stuxnet)和其他黑客活动。
美国怀疑“手术刀”与伊朗有关
安全研究人员目前没有直接的证据证明“手术刀”已经入侵了工业控制系统(ICS)和监测控制&数据采集系统(SCADA)的网络,但是安全研究员已经查到约有50个公司、单位或组织遭到“手术刀”攻击。黑客攻击的目标包括美国军方、美国海军陆战队内网(NMCI)和几个工业组织(比如能源、公共事业)。
尽管想找出攻击事件的源头很难,但是研究人员发现了许多在攻击中被使用的域名,而这些域名都是由伊朗公司Tarh Andishan注册的。研究者还发现ASN和netblock是直接与伊朗当局挂钩的,而且攻击利用的基础设施是由伊朗供应商Netafraz提供的。
伊朗官员在每日邮报(The DailyMail)上发表文章否定了这一说法:
这种毫无根据的论断是对伊朗政府形象的一种损毁,美国是意在阻碍当下的核对话。
报告中还显示航空公司、政府机构、运输公司、电信运营商、国防承包商和教育机构也是他们攻击的目标。
利用现有漏洞发动攻击
安全研究人员称,在监测“手术大刀”攻击活动的期间,发现攻击者的技术水平在不断提升。“手术刀”组织的黑客们混合使用SQL注入技术和利用微软漏洞进行攻击。
除此之外,“手术大刀”雇佣了第三方组织,特别订制了攻击工具,攻击者利用这些特制工具窃取受害者的数据、网络凭证,嗅探其网络,进行键盘记录和种植后门。
安全研究人员分析了泄露了的大约8G数据和超过8万份的文件,并且还获得了攻击者所使用的工具。据当前的调查显示,在整个的攻击过程中并没有发现任何0day漏洞利用程序。
