伊朗关联黑客攻破美国网络,中东网络冲突升级

谷歌首席网络威胁情报分析师警告称,伊朗"绝对会"用网络攻击来回应美国-以色列联合军事打击,目标将是整个中东及其他地区的组织。安全研究人员报告称,自冲突开始以来的几天里,伊朗黑客活动激增。

谷歌威胁情报小组首席分析师约翰·赫尔特奎斯特(John Hultquist)在伦敦举行的英国皇家联合军种研究所(Royal United Services Institute)活动上做出了这一评估,他警告说,目前处于伊朗攻击目标范围内的国家可能缺乏足够的网络防御能力来抵御即将到来的攻击。据Infosecurity Magazine报道,他表示:"以前,我们谈论的是针对一个网络安全能力极其成熟的小国。现在我们谈论的是一系列其他目标,他们可能没有同样的成熟度。"

数字战线与动能打击并行开启

此警告发布之际,美国和以色列于2月28日发起了协调军事行动——代号为"咆哮雄狮行动"和"史诗之怒行动"——打击了伊朗的领导层、军事设施和核设施。伊朗随后用导弹齐射对以色列以及美国在约旦、科威特、巴林、卡塔尔、沙特阿拉伯和阿联酋的军事基地进行了报复。

在网络领域,态势迅速升级。据CloudSEK报告,2月28日至3月2日期间,记录了超过150起黑客组织声称实施的攻击事件,包括针对政府、金融、航空和关键基础设施部门的DDoS攻击、网站篡改和数据窃取行动。谷歌、Mandiant、Cloudflare 和微软 均在此期间发布了威胁情报警报。

Check Point研究人员报告称,伊朗黑客团队"数百次"尝试利用以色列、阿联酋、卡塔尔、巴林、科威特、塞浦路斯和黎巴嫩的海康威视和大华IP摄像头的漏洞——这些国家正是伊朗导弹打击的目标国。伊朗历史上曾利用被攻陷的摄像头进行战场侦察和导弹瞄准,研究人员警告称,这些活动可能是"后续动能行动的早期指标"。

MuddyWater 扩大攻击范围

与伊朗有关联的间谍组织 MuddyWater 隶属于伊朗情报与安全部,该组织也扩大了其行动范围。Symantec 和 Carbon Black 的研究人员本周披露,该组织利用一个此前未知的后门程序"Dindoor",已在一家美国银行、一家与机场相关的实体以及一家以色列软件公司的网络中建立了立足点。这些入侵活动似乎始于 2 月 28 日打击行动之前,使该组织处于研究人员所称的"发动攻击的潜在危险位置"。

更广泛的警告与展望

Hultquist表示,他预计伊朗将利用黑客行动主义幌子和勒索软件行动来掩护国家支持的网络攻击活动。"我预计会出现一些并非真正勒索软件的勒索软件事件,"他告诉Infosecurity Magazine。"我预计这些事件会发生在美国、海湾合作委员会成员国以及其他任何激怒伊朗的国家"。

英国国家网络安全中心发布了自己的警告,敦促在中东有业务的组织加强防御,警告称"尽管伊朗国内互联网中断,伊朗国家和与伊朗有关的网络行为者几乎肯定仍保持至少一定的网络活动能力"。报告称,观察到伊朗威胁行为者和黑客行动主义团体"正在进行侦察并发起DDoS攻击",而亲俄罗斯的黑客行动主义团体也开始以表面上的团结姿态攻击美国实体。

截至本周初,尚未公开披露任何已确认成功入侵关键运营技术系统的事件,但正如Hultquist警告的那样:"他们非常擅长在这种模糊地带活动"。