美國近日警告稱,伊朗國家支持的黑客正利用勒索軟件等手段,對關鍵基礎設施領域的美國組織發起攻擊。本周三,美國網絡安全和基礎設施安全局(CISA)、聯邦調查局(FBI)、澳大利亞網絡安全中心(ACSC)和英國國家網絡安全中心(NCSC)聯合發布了一項罕見的警告,公開將伊朗與勒索軟件聯繫在一起。
公告中表示,目前發現的證據表明伊朗支持的攻擊者至少從 3 月開始利用 Fortinet 漏洞,從 10 月開始利用微軟 Exchange ProxyShell 漏洞,以進入美國交通和公共衛生部門的關鍵基礎設施組織,以及澳大利亞的組織。黑客的目的最終是利用這種訪問權進行後續行動,如數據滲透、勒索和部署贖金軟件。
例如,今年 5 月,黑客們濫用 Fortigate 設備,訪問了一台為美國市政府託管域名的網絡服務器。接下來的一個月,CISA 和 FBI 觀察到黑客利用 Fortinet 的漏洞訪問了美國一家專門從事兒童保健的醫院的網絡。
該聯合公告與微軟關於伊朗多家 APT(高階持續性威脅)組織演變的單獨報告一起發布,APT 組織越來越多地利用勒索軟件來收集資金或擾亂其目標。在該報告中,微軟表示,它一直在跟蹤 6 個伊朗威脅集團,它們在2020年9月開始的攻擊中一直在部署勒索軟件和滲出數據。
微軟挑出了一個特別”有侵略性”的組織,它稱之為Phosphorus,也被稱為APT35,該公司在過去兩年中一直在追蹤這個組織。雖然它以前使用魚叉式釣魚郵件來引誘受害者,包括2020年美國大選期間的總統候選人,但微軟表示,該組織現在採用社會工程策略,在使用Windows內置的全磁盤加密功能BitLocker來加密他們的文件之前,與受害者建立良好的關係。