Mandiant研究人員鎖定伊朗對阿爾巴尼亞政府實施的網絡攻擊行為
2022-08-15 blog.wongcw
一場針對阿爾巴尼亞政府的網絡攻擊使國家網站和公共服務中斷了數小時。隨著俄羅斯在烏克蘭的戰爭肆虐,克里姆林宮似乎是最可能的嫌疑人。但威脅情報公司Mandiant週四發表的研究報告將這次攻擊歸咎於伊朗。雖然德黑蘭的間諜活動和數字干預已經在世界各地出現,但曼迪安特的研究人員說,來自伊朗對一個北約成員國的破壞性攻擊是一個值得注意的行動升級。
阿爾巴尼亞地拉那
7月17日針對阿爾巴尼亞的數字攻擊發生在”自由伊朗世界峰會”之前,該會議定於7月23日和24日在阿爾巴尼亞西部的馬涅茲鎮召開。該峰會隸屬於伊朗反對派組織(通常縮寫為MEK、PMOI或MKO)。但會議在預定開始的前一天被推遲,因為據說有未指明的”恐怖主義”威脅。
Mandiant研究人員說,攻擊者部署了Roadsweep系列的勒索軟件,可能還利用了一個以前未知的後門,被稱為Chimneysweep,以及Zeroclear擦除工具的一個新變種。Mandiant發現,過去使用類似的惡意軟件,攻擊的時間,Roadsweep勒索軟件說明中的其他線索,以及在Telegram上聲稱對攻擊負責的行為人的活動都指向伊朗。
Mandiant的情報副總裁John Hultquist說:”這是一個積極的升級步驟,我們必須承認。伊朗的間諜活動在世界各地一直在發生。這裡的區別是這不是間諜活動。這些是破壞性的攻擊,影響到生活在北約聯盟內的阿爾巴尼亞人的日常生活。而且,這基本上是一種脅迫性的攻擊,以迫使政府出手。”
伊朗在中東,特別是在以色列進行了廣泛的黑客活動,其國家支持的黑客已經滲透和探測了製造、供應和關鍵基礎設施組織。2021年11月,美國和澳大利亞政府警告說,伊朗黑客正在積極努力獲取與運輸、醫療保健和公共衛生實體等相關的一系列網絡。國土安全部網絡安全和基礎設施安全局當時寫道:”這些伊朗政府資助的APT行為者可以利用這種訪問進行後續行動,如數據滲出或加密、勒索軟件和敲詐。”
不過,德黑蘭已經限制了其攻擊的範圍,在全球範圍內主要保持數據滲透和偵察。然而,該國也參與了影響行動、虛假信息活動和乾預外國選舉的努力,包括針對美國。
Hultquist說:”我們已經習慣於看到伊朗在中東地區咄咄逼人,這種活動從未停止過,但在中東以外的地區,他們一直都很克制。我擔心他們可能更願意在該地區之外利用其能力。而且他們顯然對針對北約國家毫無顧忌。”
由於伊朗聲稱它現在有能力生產核彈頭,而且該國代表與美國官員在維也納就可能恢復兩國之間的2015年核協議進行了會晤,任何關於伊朗在與北約打交道時可能的意圖和風險容忍度的信號都是重要的。
閱讀研究報告以了解更多: