【導讀】利用VPN漏洞發(fā)動攻擊�����,似乎越發(fā)成為疫情當下黑客入侵企業(yè),布局全球網(wǎng)絡態(tài)勢的新手段。前段時間����,國外某研究機構(gòu)發(fā)布一份報告�����,重磅爆出伊朗“Fox Kitten”的網(wǎng)絡間諜計劃——利用未修補的VPN漏洞作為切入點,向全球政府和企業(yè)植入后門,引發(fā)安全界廣泛熱議�����。而今天,在新冠疫情全球范圍爆發(fā),“全球警戒”勢在必行的當下�,高度密切關(guān)注利用VPN漏洞發(fā)動全球性網(wǎng)絡攻擊顯得尤為重要�����。
VPN(Virtual Private Network):在公用網(wǎng)絡上建立專用網(wǎng)絡,通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標地址的轉(zhuǎn)換實現(xiàn)遠程訪問�,在企業(yè)政府機構(gòu)遠程辦公中起著舉足輕重的地位�����。而這也意味著�,一旦VPN漏洞被黑客利用攻擊,企業(yè)將面臨巨大威脅。 2019年�����,大量企業(yè)的 VPN 服務器中被指存在重大漏洞���,加劇了VPN網(wǎng)絡安全的嚴防態(tài)勢�。然而,利用VPN漏洞發(fā)動攻擊來的比預想要快,而這一次便直指全球���。
伊朗借VPN啟動“Fox Kitten”間諜計劃,全球范圍內(nèi)重新布局網(wǎng)絡攻擊戰(zhàn)略
今年2月��,國外某安全機構(gòu)爆出一個名為“Fox Kitten”的網(wǎng)絡間諜計劃�����。報告稱:該計劃可追溯至2017年��,由伊朗國家級黑客組織運作,利用未修補的虛擬專用網(wǎng)漏洞作為切入點���,悄悄助力伊朗在世界各地政府和企業(yè)組織中獲得持久立足點。而相關(guān)“潛伏與立足”��,直到報道前似乎大部分都還沒有被發(fā)現(xiàn)�����。
而關(guān)于該“間諜計劃”�����,研究員評論道:“我們估計,這份報告中披露的戰(zhàn)役是伊朗迄今所揭示的最連續(xù),最全面的戰(zhàn)役之一����。” 而后還指出,伊朗APT組織的影響力與能力可能被低估了����。
智庫梳理相關(guān)信息��,歸納了其四大特色,發(fā)現(xiàn)“Fox Kitten”計劃確有其震撼之處�。
特色一:布局全球并以關(guān)鍵基礎(chǔ)設施為目標�,滲透各國核心新基建
“Fox Kitten”網(wǎng)絡間諜計劃主要針對以色列組織��,但也滲透到包括美國和澳大利亞在內(nèi)的至少10個其他國家的目標���。攻擊者在信息技術(shù)公司�、公用事業(yè)提供商�����、國防承包商����、石油公司和航空業(yè)公司中取得了立足點���?��?梢哉f��,涵蓋了IT�、電信、石油和天然氣����、航空、安全領(lǐng)域的公司和政府機構(gòu)等諸多關(guān)鍵領(lǐng)域����。
雖然����,這次計劃的主要目的是在很長一段時間內(nèi)進行間諜活動和竊取信息�����。然而��,攻擊者也將攻擊基礎(chǔ)設施留在原地,以便快速有效地分發(fā)破壞性惡意軟件�。
特色二:伊朗三大“APT組織”組合出擊��、協(xié)調(diào)作戰(zhàn)
雖然是被用作偵察基礎(chǔ)設施,但此次“間諜計劃”動用了伊朗三大APT組織—— “Elfin”�����、“OilRig”和Chafer���,并將其捆綁組合出擊�。
Elfin是一個更加隱蔽的網(wǎng)絡間諜組織,主要針對美國�����、韓國和沙特的航空和石化目標����;
OilRig的活動在很大程度上與APT33重疊,但該組織更專注于中東�,并因使用虛假的LinkedIn個人資料和邀請傳遞惡意軟件��;
Chafer是一個專注于竊取個人信息的組織���,它建立了一個以電信和旅游業(yè)為重點的廣泛的全球網(wǎng)絡��。
而以上三個組織還均以利用新的VPN漏洞而聞名�����。因而即使過去它們分散作戰(zhàn)、互不干擾���,但此次,三大APT組織參與共同發(fā)起了這項針對全球的VPN服務器攻擊活動��。
特色三:多個VPN服務器漏洞重磅出擊����,令美國FBI發(fā)布警報
而在工具利用上,伊朗黑客已將Pulse Secure VPN(CVE-2019-11510)、FortinetFortiOS VPN(CVE-2018-13379)、Palo Alto NetworksVPN(CVE-2019-1579)以及Citrix VPN(CVE-2019-19781)等漏洞定位為入侵大型公司的工具����。
今年1月10日�����,美國網(wǎng)絡安全和基礎(chǔ)設施安全局(CISA)警告企業(yè),修補其Pulse Secure VPN服務器以防止利用漏洞CVE-2019-11510的攻擊。隨即美國聯(lián)邦調(diào)查局(FBI)也發(fā)布安全警報�����,指責國家級(伊朗)黑客利用Pulse Secure VPN服務器的嚴重漏洞��,破壞了美國市政府和美國金融公司的網(wǎng)絡�。
特色四:最新VPN漏洞24小時內(nèi)�,即可被伊朗“攻下”利用
“天下武功,唯快不破”,或許伊朗黑客組織深諳此道��。所以���,當新的漏洞披露之后����,他們總能在幾小時內(nèi)迅速地加以部署,搶在補丁發(fā)布之前�,利用該漏洞對目標系統(tǒng)發(fā)起致命一擊���。
據(jù)資料顯示���,他們不僅能夠成功獲取對目標核心系統(tǒng)的訪問權(quán)限���,丟棄其他惡意軟件�����,并在網(wǎng)絡上橫向傳播,與此同時,還特別擅長掩蓋他們的蹤跡��,并在他們泄露信息時對其存在保密�。 從以上四大特色來看,這項針對全球VPN服務器的Fox Kitten計劃,無疑是伊朗布局全球網(wǎng)絡攻擊態(tài)勢的絕佳切入點��。
全球新冠疫情浪潮之下未來��,VPN或?qū)S為網(wǎng)絡空間致命武器
盡管當前來看��,“Fox Kitten”網(wǎng)絡間諜計劃被認為在執(zhí)行偵察與監(jiān)控,但在‘得天獨厚“的入侵優(yōu)勢下���,可以大膽猜測,未來“Fox Kitten”或許會將VPN漏洞武器化���,進一步部署更強殺傷力的網(wǎng)絡攻擊。
第一�,部署數(shù)據(jù)擦除惡意軟件
通常�,數(shù)據(jù)擦除軟件會通過擦除用戶設備���,使其無法訪問所需要的應用程序和數(shù)據(jù)��,并進一步攻擊共享網(wǎng)絡中的文件,云服務上存儲的數(shù)據(jù)����。而目前�����,伊朗黑客組織可能早已在相關(guān)目標上,部署了破壞公司網(wǎng)絡和業(yè)務運營的數(shù)據(jù)擦除惡意軟件����,而此舉足以導致企業(yè)和政府的運營的停擺��。
2012年,伊朗對陣沙特阿美時��,曾利用Shamoon惡意軟件攻陷了石油巨頭約75%的電腦��;而2019年9月��,兩種新型數(shù)據(jù)擦除惡意軟件ZeroCleare和Dustman也被指與伊朗黑客有關(guān)。
第二���,對企業(yè)客戶進行供應鏈攻擊
與此同時,伊朗黑客還可能利用對受感染公司的訪問權(quán)����,進而對其客戶進行供應鏈攻擊�����。
這一推斷在FBI向美國私營部門發(fā)出的安全通告中得到了論證。通告顯示:“軟件供應鏈公司正在遭受持續(xù)攻擊����,包括支持全球能源產(chǎn)出、傳輸和分發(fā)的工控系統(tǒng)的實體“。
FBI的同一警報還指出��,這些攻擊中部署的惡意軟件與伊朗APT33組織先前使用的代碼之間存在關(guān)聯(lián)���,強烈暗示伊朗黑客可能是這些攻擊的幕后黑手���。
第三,“攻陷VPN->橫向移動”策略����,發(fā)動更大范圍的攻擊
2019年12月下旬���,巴林國家石油公司Bapco遭遇的一次數(shù)據(jù)擦除惡意軟件攻擊中�����,黑客通過VPN服務器攻擊取得了Bapco網(wǎng)絡的訪問權(quán),從而將數(shù)據(jù)擦除器加載到了中央防病毒軟件中���,并進一步分發(fā)到了所有計算機,而此策略正與此次報告中披露的“攻陷VPN->橫向移動”策略如出一轍�����。
伊朗國家級APT���,這個有著“世界頂級網(wǎng)絡殺器”稱號�����,并曾成功將沙特��、阿聯(lián)酋�����、卡塔爾等各國油氣和石油公司系統(tǒng)斬于馬下的黑客組織����,在面對全球網(wǎng)絡戰(zhàn)態(tài)勢的嚴峻的當下�����,為爭奪未來國際網(wǎng)絡戰(zhàn)場的主動權(quán)���,都在擅用自身VPN攻擊優(yōu)勢��,謀求全球網(wǎng)絡安全攻防戰(zhàn)略的長線布局。 在全球新冠疫情肆虐、“全球警戒”的當下�����,不止于謹防“Fox Kitten”網(wǎng)絡間諜計劃�,VPN作為其中遠程辦公生命體的核心血液,或許早已成為更多國家級黑客組織預利用的對象��。故而��,此時此刻��,基于VPN建立的安全服務顯得格外重要。
原文來源:國際安全智庫
