记录的未来:伊朗的网络攻击准备恢复-IDC帮帮忙

美国和伊朗在网络领域相对平静的时期可能会结束。

根据总部设在马萨诸塞州萨默维尔的威胁情报公司Recorded Future的最新研究,在特朗普政府退出伊朗核协议之后,伊朗主要的网络攻击可能会恢复并可能升级。

这份题为“伊朗的黑客层级暴露”的报告主要基于Recorded Future的Insikt Group与一名掌握了伊朗网络运营知识的黑客的访谈。它包括对情报的分析,以及今年3月1日至4月30日期间收集的技术数据。该报告解释说,“伊朗很可能会在几个月内对西方企业发起网络攻击,即使不是更快。”

Recorded Future威胁情报副总裁Levi Gundert讨论了伊朗网络攻击的历史模式以及Mabna研究所等签约的民族国家黑客组织的能力。他还讨论了在不久的将来工业控制系统(ICS)攻击和关键基础设施威胁的可能性。

这是与Gundert讨论的第一部分。

你是什​​么时候开始研究伊朗境内的国家支持的威胁,当你研究恢复伊朗网络攻击的前景时,你会看到什么?

Levi Gundert:这是我们已经研究了一段时间的主题。几个月前我们就开始研究这个问题,[唐纳德总统]特朗普决定的时机非常好。我在深入研究这个问题后看到的有趣的事情是伊朗的运作方式与其他任何国家不同,无论是中国,俄罗斯,以色列还是美国,在政府如何运作以及在意识形态和网络领域完成任务之间进行权衡。

当我们退回去看看伊朗是如何通过在也门的真主党或胡塞叛乱分子的动力学领域中的切割和代理来运作的时候,我们看到他们在网络领域的运作非常相似。我们挖掘了这种方法,并开始查看司法部[司法部]的起诉书和各种承包商团体的公开报道的数据点,以及我们自己的数据,如[伊朗黑客组织] Ashiyane,以及与之交谈在这种情况下我们的人力资源。

它在论坛,政府承包商和伊朗政府的黑客和威胁行为者方面建立了这样的图景。自绿色运动以来,他们在过去八年中一直在网络方面发展这种能力。但他们在进攻性攻击和操作以及APT33,APT34和APT35等组织方面仍然非常强大。他们很有效。我们没有像Trisis或Triton这样的威胁专门针对伊朗,但似乎非常可信的是,伊朗支持这些ICS攻击。

该报告讨论了伊朗网络攻击的历史模式。这在过去如何发挥作用?

贡德特:历史非常有趣。2012年至2015年间,您遭受了很多这些攻击。例如,Shamoon袭击了沙特阿美公司。那是你看到这些非常反动的袭击以应对美国经济制裁的时期。当这些制裁在2015年回滚时,你看到了这些类型的破坏性攻击的停止。尽管APT [持续威胁持续存在]仍在继续,但就网络运营而言,这与伊朗的语气截然不同。

我们将继续关注这个难题。我们正在研究Ashiyane的历史和现状,特别是因为我们有20,000名演员或监视器,我们在Recorded Future中跟踪该组,以及[Ashiyane]组的创始人Behrooz Kamalian和角色他玩过。

你说这个报告的时间安排得很好。在核协议退出之前是否有任何迹象表明此类活动将恢复?

Gundert:我们没有说破坏性攻击的具体内容。我们继续看到最有可能归因于APT33和其他活动的活动。但是,再一次,这项活动从未真正停止过。去年秋天,我们看到了与FireEye 针对中东政府承包商发起的鱼叉式网络钓鱼攻击事件有关的其他数据,因此这类事情非常一致。

正如我们在报告中详述的那样,我们看到了与外国大学相关的活动,这与多年来一直在进行的沉默图书管理员[APT小组]攻击非常一致。该Mabna研究所正在开展大部分活动。在过去的几个月里,我们在美国看到的更少,而在外国目的地则更多。我们不能说这项活动是否正在为美国退出核协议做准备,但它至少似乎是可疑的。

ICS和能源电网威胁一直是一个热门话题,一些专家认为对这些威胁有点过度反应。但这些类型的攻击是伊朗恢复破坏性网络攻击的可能结果吗?

贡德特:真的很难说。我们在2016年看到伊朗已经进入纽约的一个小水坝,这实在是无关紧要。并且有人猜测黑客实际上正试图进入西海岸的一个不同的水设施,并且有一个错误的身份。
就ICS攻击而言,我确实认为有一点反应过度。在有意义的规模上实际触发真正停电所必须发生的事件数量相当可观。这并不是说外国对手无法做到这一点,但我不确定这种反应是否与这里的实际风险水平相称。这是我的两分钱,但我认为这里的数据点很少。

您可以与专门从事ICS行业的公司进行交流,这些公司已经做了很多工作,并且在乌克兰这样的地方也有过靴子。但除此之外,没有很多数据点。有很多猜测和很多意见,但没有很多信息可以进行定量风险分析。

对于这些由国家赞助的群体而言,这些类型的ICS攻击的协调水平目前是否达不到?

贡德特:我不会把它排除在可能性之外。我认为这些团体有能力。我认为他们没有表现出与中国,俄罗斯或美国相提并论的复杂程度,但他们非常有能力,从动机和能力方面低估他们并不好。

尽管过去三年它一直很平静,但他们仍然不断建立自己的技能,知识基础,基础设施和承包商数量来执行这些类型的攻击。而且,伊朗在2014 年对[拉斯维加斯]金沙[赌场]公司的攻击表明,它可以在想要的时候迅速投入运营,因此我认为这些团体可以影响ICS目标是切合实际的。