【導(dǎo)讀】利用VPN漏洞發(fā)動(dòng)攻擊,似乎越發(fā)成為疫情當(dāng)下黑客入侵企業(yè),布局全球網(wǎng)絡(luò)態(tài)勢(shì)的新手段。前段時(shí)間,國(guó)外某研究機(jī)構(gòu)發(fā)布一份報(bào)告,重磅爆出伊朗“Fox Kitten”的網(wǎng)絡(luò)間諜計(jì)劃——利用未修補(bǔ)的VPN漏洞作為切入點(diǎn),向全球政府和企業(yè)植入后門(mén),引發(fā)安全界廣泛熱議。而今天,在新冠疫情全球范圍爆發(fā),“全球警戒”勢(shì)在必行的當(dāng)下,高度密切關(guān)注利用VPN漏洞發(fā)動(dòng)全球性網(wǎng)絡(luò)攻擊顯得尤為重要。
VPN(Virtual Private Network):在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò),通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問(wèn),在企業(yè)政府機(jī)構(gòu)遠(yuǎn)程辦公中起著舉足輕重的地位。而這也意味著,一旦VPN漏洞被黑客利用攻擊,企業(yè)將面臨巨大威脅。 2019年,大量企業(yè)的 VPN 服務(wù)器中被指存在重大漏洞,加劇了VPN網(wǎng)絡(luò)安全的嚴(yán)防態(tài)勢(shì)。然而,利用VPN漏洞發(fā)動(dòng)攻擊來(lái)的比預(yù)想要快,而這一次便直指全球。
今年2月,國(guó)外某安全機(jī)構(gòu)爆出一個(gè)名為“Fox Kitten”的網(wǎng)絡(luò)間諜計(jì)劃。報(bào)告稱:該計(jì)劃可追溯至2017年,由伊朗國(guó)家級(jí)黑客組織運(yùn)作,利用未修補(bǔ)的虛擬專用網(wǎng)漏洞作為切入點(diǎn),悄悄助力伊朗在世界各地政府和企業(yè)組織中獲得持久立足點(diǎn)。而相關(guān)“潛伏與立足”,直到報(bào)道前似乎大部分都還沒(méi)有被發(fā)現(xiàn)。
而關(guān)于該“間諜計(jì)劃”,研究員評(píng)論道:“我們估計(jì),這份報(bào)告中披露的戰(zhàn)役是伊朗迄今所揭示的最連續(xù),最全面的戰(zhàn)役之一。” 而后還指出,伊朗APT組織的影響力與能力可能被低估了。
智庫(kù)梳理相關(guān)信息,歸納了其四大特色,發(fā)現(xiàn)“Fox Kitten”計(jì)劃確有其震撼之處。
特色一:布局全球并以關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo),滲透各國(guó)核心新基建
“Fox Kitten”網(wǎng)絡(luò)間諜計(jì)劃主要針對(duì)以色列組織,但也滲透到包括美國(guó)和澳大利亞在內(nèi)的至少10個(gè)其他國(guó)家的目標(biāo)。攻擊者在信息技術(shù)公司、公用事業(yè)提供商、國(guó)防承包商、石油公司和航空業(yè)公司中取得了立足點(diǎn)??梢哉f(shuō),涵蓋了IT、電信、石油和天然氣、航空、安全領(lǐng)域的公司和政府機(jī)構(gòu)等諸多關(guān)鍵領(lǐng)域。
雖然,這次計(jì)劃的主要目的是在很長(zhǎng)一段時(shí)間內(nèi)進(jìn)行間諜活動(dòng)和竊取信息。然而,攻擊者也將攻擊基礎(chǔ)設(shè)施留在原地,以便快速有效地分發(fā)破壞性惡意軟件。
特色二:伊朗三大“APT組織”組合出擊、協(xié)調(diào)作戰(zhàn)
雖然是被用作偵察基礎(chǔ)設(shè)施,但此次“間諜計(jì)劃”動(dòng)用了伊朗三大APT組織—— “Elfin”、“OilRig”和Chafer,并將其捆綁組合出擊。
Elfin是一個(gè)更加隱蔽的網(wǎng)絡(luò)間諜組織,主要針對(duì)美國(guó)、韓國(guó)和沙特的航空和石化目標(biāo);
OilRig的活動(dòng)在很大程度上與APT33重疊,但該組織更專注于中東,并因使用虛假的LinkedIn個(gè)人資料和邀請(qǐng)傳遞惡意軟件;
Chafer是一個(gè)專注于竊取個(gè)人信息的組織,它建立了一個(gè)以電信和旅游業(yè)為重點(diǎn)的廣泛的全球網(wǎng)絡(luò)。
而以上三個(gè)組織還均以利用新的VPN漏洞而聞名。因而即使過(guò)去它們分散作戰(zhàn)、互不干擾,但此次,三大APT組織參與共同發(fā)起了這項(xiàng)針對(duì)全球的VPN服務(wù)器攻擊活動(dòng)。
特色三:多個(gè)VPN服務(wù)器漏洞重磅出擊,令美國(guó)FBI發(fā)布警報(bào)
而在工具利用上,伊朗黑客已將Pulse Secure VPN(CVE-2019-11510)、FortinetFortiOS VPN(CVE-2018-13379)、Palo Alto NetworksVPN(CVE-2019-1579)以及Citrix VPN(CVE-2019-19781)等漏洞定位為入侵大型公司的工具。
今年1月10日,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)警告企業(yè),修補(bǔ)其Pulse Secure VPN服務(wù)器以防止利用漏洞CVE-2019-11510的攻擊。隨即美國(guó)聯(lián)邦調(diào)查局(FBI)也發(fā)布安全警報(bào),指責(zé)國(guó)家級(jí)(伊朗)黑客利用Pulse Secure VPN服務(wù)器的嚴(yán)重漏洞,破壞了美國(guó)市政府和美國(guó)金融公司的網(wǎng)絡(luò)。
特色四:最新VPN漏洞24小時(shí)內(nèi),即可被伊朗“攻下”利用
“天下武功,唯快不破”,或許伊朗黑客組織深諳此道。所以,當(dāng)新的漏洞披露之后,他們總能在幾小時(shí)內(nèi)迅速地加以部署,搶在補(bǔ)丁發(fā)布之前,利用該漏洞對(duì)目標(biāo)系統(tǒng)發(fā)起致命一擊。
據(jù)資料顯示,他們不僅能夠成功獲取對(duì)目標(biāo)核心系統(tǒng)的訪問(wèn)權(quán)限,丟棄其他惡意軟件,并在網(wǎng)絡(luò)上橫向傳播,與此同時(shí),還特別擅長(zhǎng)掩蓋他們的蹤跡,并在他們泄露信息時(shí)對(duì)其存在保密。 從以上四大特色來(lái)看,這項(xiàng)針對(duì)全球VPN服務(wù)器的Fox Kitten計(jì)劃,無(wú)疑是伊朗布局全球網(wǎng)絡(luò)攻擊態(tài)勢(shì)的絕佳切入點(diǎn)。
盡管當(dāng)前來(lái)看,“Fox Kitten”網(wǎng)絡(luò)間諜計(jì)劃被認(rèn)為在執(zhí)行偵察與監(jiān)控,但在‘得天獨(dú)厚“的入侵優(yōu)勢(shì)下,可以大膽猜測(cè),未來(lái)“Fox Kitten”或許會(huì)將VPN漏洞武器化,進(jìn)一步部署更強(qiáng)殺傷力的網(wǎng)絡(luò)攻擊。
第一,部署數(shù)據(jù)擦除惡意軟件
通常,數(shù)據(jù)擦除軟件會(huì)通過(guò)擦除用戶設(shè)備,使其無(wú)法訪問(wèn)所需要的應(yīng)用程序和數(shù)據(jù),并進(jìn)一步攻擊共享網(wǎng)絡(luò)中的文件,云服務(wù)上存儲(chǔ)的數(shù)據(jù)。而目前,伊朗黑客組織可能早已在相關(guān)目標(biāo)上,部署了破壞公司網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)的數(shù)據(jù)擦除惡意軟件,而此舉足以導(dǎo)致企業(yè)和政府的運(yùn)營(yíng)的停擺。
2012年,伊朗對(duì)陣沙特阿美時(shí),曾利用Shamoon惡意軟件攻陷了石油巨頭約75%的電腦;而2019年9月,兩種新型數(shù)據(jù)擦除惡意軟件ZeroCleare和Dustman也被指與伊朗黑客有關(guān)。
第二,對(duì)企業(yè)客戶進(jìn)行供應(yīng)鏈攻擊
與此同時(shí),伊朗黑客還可能利用對(duì)受感染公司的訪問(wèn)權(quán),進(jìn)而對(duì)其客戶進(jìn)行供應(yīng)鏈攻擊。
這一推斷在FBI向美國(guó)私營(yíng)部門(mén)發(fā)出的安全通告中得到了論證。通告顯示:“軟件供應(yīng)鏈公司正在遭受持續(xù)攻擊,包括支持全球能源產(chǎn)出、傳輸和分發(fā)的工控系統(tǒng)的實(shí)體“。
FBI的同一警報(bào)還指出,這些攻擊中部署的惡意軟件與伊朗APT33組織先前使用的代碼之間存在關(guān)聯(lián),強(qiáng)烈暗示伊朗黑客可能是這些攻擊的幕后黑手。
第三,“攻陷VPN->橫向移動(dòng)”策略,發(fā)動(dòng)更大范圍的攻擊
2019年12月下旬,巴林國(guó)家石油公司Bapco遭遇的一次數(shù)據(jù)擦除惡意軟件攻擊中,黑客通過(guò)VPN服務(wù)器攻擊取得了Bapco網(wǎng)絡(luò)的訪問(wèn)權(quán),從而將數(shù)據(jù)擦除器加載到了中央防病毒軟件中,并進(jìn)一步分發(fā)到了所有計(jì)算機(jī),而此策略正與此次報(bào)告中披露的“攻陷VPN->橫向移動(dòng)”策略如出一轍。
伊朗國(guó)家級(jí)APT,這個(gè)有著“世界頂級(jí)網(wǎng)絡(luò)殺器”稱號(hào),并曾成功將沙特、阿聯(lián)酋、卡塔爾等各國(guó)油氣和石油公司系統(tǒng)斬于馬下的黑客組織,在面對(duì)全球網(wǎng)絡(luò)戰(zhàn)態(tài)勢(shì)的嚴(yán)峻的當(dāng)下,為爭(zhēng)奪未來(lái)國(guó)際網(wǎng)絡(luò)戰(zhàn)場(chǎng)的主動(dòng)權(quán),都在擅用自身VPN攻擊優(yōu)勢(shì),謀求全球網(wǎng)絡(luò)安全攻防戰(zhàn)略的長(zhǎng)線布局。 在全球新冠疫情肆虐、“全球警戒”的當(dāng)下,不止于謹(jǐn)防“Fox Kitten”網(wǎng)絡(luò)間諜計(jì)劃,VPN作為其中遠(yuǎn)程辦公生命體的核心血液,或許早已成為更多國(guó)家級(jí)黑客組織預(yù)利用的對(duì)象。故而,此時(shí)此刻,基于VPN建立的安全服務(wù)顯得格外重要。
原文來(lái)源:國(guó)際安全智庫(kù)