研究人员近来表露了一个网络监控构造入侵攻击位于美国、沙特阿拉伯和韩国的航空航天、国防和动力构造机构。
代表伊朗当局行为
火眼公司在最新宣布的研究申报中指出,一个自称为APT33的伊朗黑客构造至多从2013年起就针对症结基础设施、动力和军事部分动员入侵攻击,以此网络谍报盗取贸易秘密。
火眼公司还指出有证据注解APT33代表伊朗当局展开行为。
跟受害者之间存在好处干系
火眼公司的研究人员指出,至多从2016年5月起就发明APT33动员的网络入侵攻击,并发明APT33胜利入侵攻击军用和商用航空航天构造机构,和跟石化相干的动力构造机构。
APT33的受害者包含从事航空航天业的一家美国公司、持有航空航天股分的一家沙特阿拉伯贸易巨擘、和一家从事煤油提炼和石化行业的韩国公司。
2017年5月,APT33应用一个恶意病毒木马文件入侵攻击一家沙特阿拉伯构造机构和一家韩国贸易机构的员工,试图以沙特阿拉伯石化公司的职位空白信息欺骗员工。
火眼公司的申报指出,“咱们觉得针对这家沙特构造机构的目标能够是试图获得地区竞争敌手的环境,而入侵攻击韩国公司能够是因为韩国近来跟伊朗石化行业树立合作伙伴干系、和韩国跟沙特石化公司之间的干系。”
APT33经由过程含有恶意病毒木马HTML链接的鱼叉式垂纶邮件流传恶意病毒木马软件沾染目标计算机。APT33应用的诶软件包含DROPSHOT (病毒开释器)、SHAPESHIFT(擦除器)和TURNEDUP(自定义后门,是末了阶段的payload)。不外卡巴斯基此前宣布申报将DROPSHOT命名为StoneDrill,它的入侵攻击目标是欧洲的煤油公司,并被觉得是Shamoon 2恶意病毒木马软件的变体。
火眼申报指出,“固然咱们仅仅间接察看到APT33应用DROPSHOT流传TURNEDUP后门,但咱们从开释SHAPESHIFT的入侵攻击中发明了多个DROPSHOT样本。”SHAPESHIFT恶意病毒木马软件能擦除磁盘,消除硬盘并删除文件,这些都取决于它的设置装备摆设环境。
火眼公司指出,APT33客岁从多个伪装成沙特阿拉伯航空公司和国内构造机构(如波音等)的域名发送数百份鱼叉式垂纶邮件。火眼公司觉得APT33跟展开网战行为的伊朗当局构造机构Nasr机构之间存在联系关系。
跟别的一个监控构造无关?
7月,趋势科技公司和以色列公司ClearSky的研究人员发明了别的一个伊朗监控构造Rocket Kittens,它也活泼于2013年且针对多个构造机构和多名小我动员入侵攻击,包含以色列、沙特阿拉伯、土耳其、美国、约旦和德国的外交官和研究员。