83 views

Recorded Future揭示了伊朗的黑客行动

By | 2018年11月30日

根据威胁情报公司Recorded Future的最新研究,伊朗的黑客行动与其他民族国家的威胁组织不同。

这家总部位于马萨诸塞州萨默维尔的公司本月早些时候发布了一份名为“伊朗的黑客层级暴露”的报告,该报告显示了伊朗政府网络运营的内部运作。预计未来的Insikt集团预计,在特朗普政府退出伊朗核协议后,伊朗会发生重大网络攻击,并提供该国承包商组织网络的观点,包括学术大学。Insikt Group的研究部分基于对前伊朗黑客的访谈,该黑客直接了解该国的网络运营情况。

Recorded Future威胁情报副总裁Levi Gundert解释了为什么伊朗国家赞助的网络运营与其他民族国家不同,以及这种独特性如何给该国带来挑战。在对Gundert 的采访的第一部分中,他讨论了伊朗黑客攻击活动的历史以及代表政府工作的各种先进持久威胁团体所展示的模式。在这里,他描述了伊朗政府使用承包商的策略,并权衡了该国新型破坏性网络攻击的可能性。

我们已经看到民族国家团体使用混淆来混淆归属水域,甚至最近搞虚假旗帜袭击。伊朗是否关心归属,或者政府是否希望公众知道它是在网络攻击的背后?

Levi Gundert:伊朗喜欢使用代理,就像俄罗斯使用代理一样。如果你看看俄罗斯如何利用不同的能力与俄罗斯政府建立不同的联系,特别是在选举影响行动方面,伊朗也喜欢这种做法。这使得归属变得更加困难,当政府与其他国家坐下来时,这有助于伊朗处于政策层面。对方程式稍加怀疑只会对他们有益。但情况并非总是如此。例如,在[Las Vegas] Sands Casino攻击中,黑客实际上发布了一个YouTube视频,因为攻击正在进行中。视频记录了黑客在整个Sands网络中获得的所有访问权限,它甚至还有字幕和标题,模仿公司所有不充分的安全性,并将所有这些文件留在网络上。这很有趣,因为它是一种宣传,即使它很快就被删除了。这很有趣,因为如果你真的有能力持续地执行这项活动并且你有一个发展的能力,那么你可能不希望表现得像以前从未有过的那样。如果你是伊朗人,你可能希望看起来只是另一天和另一次攻击。但他们以公开的方式庆祝它的方式非常情绪化。我曾经让人们在推特上告诉我,情感与伊朗政府没有关系,我认为确实如此。我们在金沙袭击中所看到的非常情绪化,
关于伊朗的有趣之处在于他们的代理人在国内。我们从他们身上看到的一切都将回到位于伊朗的公司或大学。另一方面,朝鲜将利用其他国家的人民进行大量此类袭击。他们会找到那些在马来西亚或印度等国家拥有针对特定攻击技能的人,因此这些攻击并不像他们对伊朗那样以实际方式回复他们。随着时间的推移,伊朗是否将继续只使用国内代理将是值得关注的事情。伊朗所面临的问题是政府希望向承包商提供特定任务的这种意识形态因素,但他们想知道承包商可以信任并且不会与对手分享内部信息。

在这一点上,Insikt集团从伊朗境内的消息来源获得的信息证明对您的报告非常有价值。伊朗黑客是否对政府有任何意识形态忠诚度,或者他们主要是出于经济利益的推动?您是否了解这些代理和承包商如何得到补偿?

Gundert:我们没有具体数字,但我们听说这是很好的报酬。伊朗已经建立了这种准资本主义制度,承包商有时会互相争斗,看谁能真正交付。而且只有在交付时才能获得报酬。这是一场比赛。根据我们的理解,能够交付和首先交付等同于伊朗的重要财富和对未来运营的影响。这似乎是相当不错的演出。

拥有这些技能的是年轻一代,他们关心的只是金钱。他们关心获得报酬。他们不会接受政权的意识形态,也不会购买宗教成分。他们玩游戏是因为他们必须玩游戏才能完成工作,但他们真的只是想赚钱。

是否有任何迹象表明伊朗黑客行为可能会影响选举影响行动以及我们从俄罗斯威胁组织看到的那种活动?

Gundert:我们还没有看到任何有关伊朗参与任何有影响力行动的证据,但我认为这是值得展望的,主要是因为俄罗斯取得了成功以及这两个国家之间的密切联系。我认为伊朗可能会看到俄罗斯取得的成功,并认为他们希望在可能的情况下效仿,这并不是一件容易的事。但我也认为伊朗政府的这种运营预算并不是俄罗斯在购买广告,资源和大规模必要人员方面的预算。伊朗可能希望这样做,但可能成本过高。无论如何,这当然是可能的。

伊朗黑客过去经常使用DDoS攻击。这些攻击是否仍然有效,还是伊朗会向更具破坏性的攻击类型发展?
Gundert:2012年,金融服务领域出现了一波DDoS攻击,他们并没有真正做好准备,而且非常成功。今天,金融服务公司为这样的另一次攻击做了更多的准备。并且只有很多方法可以创建拒绝服务攻击。我们已经看到很多反射和放大攻击的变化往往是最强大的类型,但这次它们成功的可能性要小得多。如果他们能够设计一种拒绝服务攻击,使网上银行系统脱机,那将在2018年取得相当大的成就。金融服务部门针对DDoS攻击实施了多层防御,因此即使攻击者确实拥有一百万个按照您的方式发送数据包的物联网设备,这些层可以快速饱和该流量并开始阻止它。像WannaCry这样的破坏性雨刮器恶意软件是一个更大的问题。

您是否与联邦政府分享了此报告?如果是,那么回复是什么?各机构是否意识到并积极准备伊朗网络攻击的飙升?

贡德特:这是一个很好的问题。在发布报告之前,我们确实与许多政府机构分享了报告,我们收到的所有反馈都非常积极。但这就是我所能说的。我没有和我们团队中那些有政府经验的人谈过,所以我不知道政府在报告之前对此有多少想法。我知道国土安全部[DHS]特别关注ICS攻击。这是DHS最近关注的焦点之一。但这是一个很高的水平,而不是伊朗特有的。

发表评论

电子邮件地址不会被公开。 必填项已用*标注