在过去几个月里摇动沙特阿拉伯的网络攻击波浪与早期的赛马袭击有关。然而,初始2012次攻击是单一组的工作,而最新攻击是由不同的不同技能和专业知识进行的,所有这些都是由一个恶意演员,McAfee研究人员提供的所有指示。
Researchers at McAfee Strategic Intelligence believe the 2012 Shamoon attacks against Saudi Arabia’s state-run oil company Saudi Aramco and Qatari natural gas company RasGas, the attacks last November against Saudi organizations, and these latest attacks are all the work of hacker groups supported and coordinated by a single actor, and not the efforts of multiple gangs operating independently, said McAfee principal engineer Christiaan Beek and McAfee chief scientist Raj Samani.
尽管沙穆恩关注的是沙特阿拉伯,但重要的是要记住,清除系统的运动并不只在中东。恶意黑客可以从黑市获取技术,或者直接联系其他组织学习新技术。恶意软件和攻击能力不像枪支,谁能拥有它们是有物理限制的。它们可以被共享,一旦有东西可用,它就会变得广泛。
2016年和2017年的行动规模大得多,执行起来也复杂得多,造成的破坏也大得多,这表明袭击者掌握了新技术,正在与其他组织合作。
“复杂性的增加表明,超越单一黑客集团的投资,协作和协调,而是综合运作,”萨曼尼和蜂师写道“。
最初的行动主要针对沙特的能源部门,通过清除硬盘驱动器和主启动记录,摧毁了数万台电脑。但最近的攻击已经超越了垂直攻击,包括十几个政府机构、金融服务机构和关键基础设施。迄今为止,McAfee所遭遇的所有袭击都针对沙特阿拉伯。
“有人试图扰乱全国,”Beek警告说。
虽然McAfee拒绝将特定群体或国家作为协调演员命名为协调演员,但Beek表示,袭击事件背后有一个明确的地缘政治意图。他说,这不是破坏个体组织的问题,而是对一个国家的攻击,只有国家才能进行这种协调水平。
该研究是“流氓州或无国籍行为者的最新证据,发展日益复杂和强大的网络武装和春季竞争能力,以项目的地地际和战略权力,否则将超越其覆盖范围,”萨米和蜂湾写道。
Beek表示,最近于1月23日开始的攻击波浪,并正在进行 - 持续 - 利用2012年使用的恶意代码,近90%的重叠。该活动仍依赖于仔细选择的矛网络钓鱼电子邮件,以便仔细选择个人将初始立足点进入网络。
活动之间的其他共性包括:系统将被擦除的日期在恶意软件中是硬编码的,并且擦拭通常在非工作时间或假期期间发生,以使受害者组织更加难以注意到发生的事情为时已晚。恶意软件也与命令和控制基础架构信息和广告系列的矛网络钓鱼部分中获得的网络和系统凭据进行了硬编码。这对协调演员进行了很多工作,因为每个目标都需要自己的恶意品变量。
然而,有一些关键的区别。最初的2012年攻击者强调速度——迅速进入网络清除机器,并在造成系统范围的破坏后消失——因为他们是新手,需要在被抓住之前离开。最初的行动使用扫描工具和渗透测试工具Acunetrix Security Scanner的盗版来寻找漏洞,然后上传webshell来建立远程访问并获取用户名和证书。McAfee的研究人员说,嘈杂的扫描和搜索漏洞表明,他们希望能有一个幸运的射击,而不是有一个详细的攻击计划。
当前这波攻击表现出了更复杂的特点,包括准备充分的鱼叉式网络钓鱼攻击,它们使用欺骗域和武装化的文档、远程后门来建立持久性,以及使用PowerShell脚本来执行操作。攻击者可以花时间收集情报,并把雨刷功能留到他们提取完所有有价值的信息后,作为最后的破坏行动。
即使改变了风格,也有足够的相似之处,表明这些袭击是单个协调者的工作,他们越来越擅长开发更复杂的活动,而不是多个组织独立使用类似的工具。执行者正在增加新的能力,然后训练其他小组如何执行攻击。
比克说,参与2012年那次行动的组织成员已经转移到其他组织和袭击中,新成员已经被招募和训练。最近的袭击具有“更强的技术专长”,但总体行动细节表明,一些成员的技术水平不如其他人。
McAfee研究人员发现恶意软件中的文物,“通常会被一个更熟练的群体删除”。虽然初始攻击是由2012年的一个组执行的,但目前的波涉及多个群体,这解释了研究人员发现的一些操作错误。
比克说,只要协调行动的参与者跟上投资、改进攻击和培训的步伐,个别黑客组织就能够执行他们的部分攻击,这意味着具有破坏性的Shamoon攻击将继续下去。
Beek提出赛船恶意软件是自2012年以来的“网络武器坐在架子上”,并被带回2016年和2017年的竞选活动,因为“它最后一次工作得很好。”
更令人担忧的是,协作并不是只有一种方式,而是由协调者向攻击群体传授技术。演员也在向其他小组学习。最新的Shamoon代码似乎借用了黑客组织Rocket Kitten在2016年春天使用的宏代码,以及运行PowerShell的Visual Basic脚本代码,后者曾在2015年石油钻井平台(Oil-RIG)的网络间谍活动中使用。其他安全研究人员将“火箭小猫”和“石油钻井平台”与伊朗联系起来。
重用基础架构,如DNS隧道,以隐藏与命令和控制服务器的通信和其他常见技巧越来越常见。如果他们知道要问谁,任何人都可以获得工具,策略,知识,人才和基础设施。
McAfee警告说,从最初的Shamoon攻击到最近的这些攻击之间的5年时间里,“可能的”民族国家在网络攻击能力和技能上都有所增长。这也意味着现在有更多的恶意对手,他们知道这些战术,并有能力使用这些复杂的工具。
比克和萨马尼警告说:“没有迹象表明,攻击者不会再次卷土重来。正如最新的Shamoon‘重启’所显示的,他们会再次卷土重来,变得更强大。
这篇文章,"McAfee:由单一组织协调的Shamoon网络攻击浪潮"最初是由信息世界 .