安全公司Cylance爆料，伊朗黑客組織“手術(shù)刀(Operation Cleaver)”正在全球范圍內(nèi)攻擊航空、能源行業(yè)和國(guó)防領(lǐng)域?！笆中g(shù)刀”由伊朗政府贊助，在它的攻擊目標(biāo)中目前有10個(gè)是美國(guó)重要基礎(chǔ)設(shè)施。

??

[[123757]]

????

安全研究人員預(yù)測(cè)該黑客組織的攻擊動(dòng)機(jī)很可能是報(bào)復(fù)美國(guó)曾對(duì)伊朗造成損傷的震網(wǎng)病毒(Stuxnet)和其他黑客活動(dòng)。

??

美國(guó)懷疑“手術(shù)刀”與伊朗有關(guān)

安全研究人員目前沒(méi)有直接的證據(jù)證明“手術(shù)刀”已經(jīng)入侵了工業(yè)控制系統(tǒng)(ICS)和監(jiān)測(cè)控制&數(shù)據(jù)采集系統(tǒng)(SCADA)的網(wǎng)絡(luò)，但是安全研究員已經(jīng)查到約有50個(gè)公司、單位或組織遭到“手術(shù)刀”攻擊。黑客攻擊的目標(biāo)包括美國(guó)軍方、美國(guó)海軍陸戰(zhàn)隊(duì)內(nèi)網(wǎng)(NMCI)和幾個(gè)工業(yè)組織(比如能源、公共事業(yè))。

盡管想找出攻擊事件的源頭很難，但是研究人員發(fā)現(xiàn)了許多在攻擊中被使用的域名，而這些域名都是由伊朗公司Tarh Andishan注冊(cè)的。研究者還發(fā)現(xiàn)ASN和netblock是直接與伊朗當(dāng)局掛鉤的，而且攻擊利用的基礎(chǔ)設(shè)施是由伊朗供應(yīng)商N(yùn)etafraz提供的。

伊朗官員在每日郵報(bào)(The DailyMail)上發(fā)表文章否定了這一說(shuō)法：

這種毫無(wú)根據(jù)的論斷是對(duì)伊朗政府形象的一種損毀，美國(guó)是意在阻礙當(dāng)下的核對(duì)話。

報(bào)告中還顯示航空公司、政府機(jī)構(gòu)、運(yùn)輸公司、電信運(yùn)營(yíng)商、國(guó)防承包商和教育機(jī)構(gòu)也是他們攻擊的目標(biāo)。

利用現(xiàn)有漏洞發(fā)動(dòng)攻擊

安全研究人員稱(chēng)，在監(jiān)測(cè)“手術(shù)大刀”攻擊活動(dòng)的期間，發(fā)現(xiàn)攻擊者的技術(shù)水平在不斷提升?！笆中g(shù)刀”組織的黑客們混合使用SQL注入技術(shù)和利用微軟漏洞進(jìn)行攻擊。

除此之外，“手術(shù)大刀”雇傭了第三方組織，特別訂制了攻擊工具，攻擊者利用這些特制工具竊取受害者的數(shù)據(jù)、網(wǎng)絡(luò)憑證，嗅探其網(wǎng)絡(luò)，進(jìn)行鍵盤(pán)記錄和種植后門(mén)。

安全研究人員分析了泄露了的大約8G數(shù)據(jù)和超過(guò)8萬(wàn)份的文件，并且還獲得了攻擊者所使用的工具。據(jù)當(dāng)前的調(diào)查顯示，在整個(gè)的攻擊過(guò)程中并沒(méi)有發(fā)現(xiàn)任何0day漏洞利用程序。