利用VPN漏洞發動攻擊,似乎越發成為疫情當下黑客入侵企業,布局全球網絡態勢的新手段。前段時間,國外某研究機構發布一份報告,重磅爆出伊朗「Fox Kitten」的網絡間諜計劃——利用未修補的VPN漏洞作為切入點,向全球政府和企業植入後門,引發安全界廣泛熱議。而今天,在新冠疫情全球範圍爆發,「全球戒嚴」勢在必行的當下,高度密切關注利用VPN漏洞發動全球性網絡攻擊顯得尤為重要。
VPN(Virtual Private Network):在公用網絡上建立專用網絡,通過對數據包的加密和數據包目標地址的轉換實現遠程訪問,在企業政府機構遠程辦公中起著舉足輕重的地位。而這也意味著,一旦VPN漏洞被黑客利用攻擊,企業將面臨巨大威脅。
2019年,大量企業的 VPN 伺服器中被指存在重大漏洞,加劇了VPN網絡安全的嚴防態勢。然而,利用VPN漏洞發動攻擊來的比預想要快,而這一次便直指全球。
伊朗借VPN啟動「Fox Kitten」間諜計劃全球範圍內重新布局網絡攻擊戰略
今年2月,國外某安全機構爆出一個名為「Fox Kitten」的網絡間諜計劃。報告稱:該計劃可追溯至2017年,由伊朗國家級黑客組織運作,利用未修補的虛擬專用網漏洞作為切入點,悄悄助力伊朗在世界各地政府和企業組織中獲得持久立足點。而相關「潛伏與立足」,直到報導前似乎大部分都還沒有被發現。
而關於該「間諜計劃」,研究員評論道:「我們估計,這份報告中披露的戰役是伊朗迄今所揭示的最連續,最全面的戰役之一。」 而後還指出,伊朗APT組織的影響力與能力可能被低估了。
智庫梳理相關信息,歸納了其四大特色,發現「Fox Kitten」計劃確有其震撼之處。
特色一:布局全球並以關鍵基礎設施為目標,滲透各國核心新基建
「Fox Kitten」網絡間諜計劃主要針對以色列組織,但也滲透到包括美國和澳大利亞在內的至少10個其他國家的目標。攻擊者在信息技術公司、公用事業提供商、國防承包商、石油公司和航空業公司中取得了立足點。可以說,涵蓋了IT、電信、石油和天然氣、航空、安全領域的公司和政府機構等諸多關鍵領域。
雖然,這次計劃的主要目的是在很長一段時間內進行間諜活動和竊取信息。然而,攻擊者也將攻擊基礎設施留在原地,以便快速有效地分發破壞性惡意軟體。
特色二:伊朗三大「APT組織」組合出擊、協調作戰
雖然是被用作偵察基礎設施,但此次「間諜計劃」動用了伊朗三大APT組織—— 「Elfin」、「OilRig」和Chafer,並將其捆綁組合出擊。
Elfin是一個更加隱蔽的網絡間諜組織,主要針對美國、韓國和沙烏地阿拉伯的航空和石化目標;
OilRig的活動在很大程度上與APT33重疊,但該組織更專注於中東,並因使用虛假的LinkedIn個人資料和邀請傳遞惡意軟體;
Chafer是一個專注於竊取個人信息的組織,它建立了一個以電信和旅遊業為重點的廣泛的全球網絡。
而以上三個組織還均以利用新的VPN漏洞而聞名。因而即使過去它們分散作戰、互不干擾,但此次,三大APT組織參與共同發起了這項針對全球的VPN伺服器攻擊活動。
特色三:多個VPN伺服器漏洞重磅出擊,令美國FBI發布警報
而在工具利用上,伊朗黑客已將Pulse Secure VPN(CVE-2019-11510)、FortinetFortiOS VPN(CVE-2018-13379)、Palo Alto NetworksVPN(CVE-2019-1579)以及Citrix VPN(CVE-2019-19781)等漏洞定位為入侵大型公司的工具。
今年1月10日,美國網絡安全和基礎設施安全局(CISA)警告企業,修補其Pulse Secure VPN伺服器以防止利用漏洞CVE-2019-11510的攻擊。隨即美國聯邦調查局(FBI)也發布安全警報,指責國家級(伊朗)黑客利用Pulse Secure VPN伺服器的嚴重漏洞,破壞了美國市政府和美國金融公司的網絡。
特色四:最新VPN漏洞24小時內,即可被伊朗「攻下」利用
「天下武功,唯快不破」,或許伊朗黑客組織深諳此道。所以,當新的漏洞披露之後,他們總能在幾小時內迅速地加以部署,搶在補丁發布之前,利用該漏洞對目標系統發起致命一擊。
據資料顯示,他們不僅能夠成功獲取對目標核心系統的訪問權限,丟棄其他惡意軟體,並在網絡上橫向傳播,與此同時,還特別擅長掩蓋他們的蹤跡,並在他們泄露信息時對其存在保密。
從以上四大特色來看,這項針對全球VPN伺服器的Fox Kitten計劃,無疑是伊朗布局全球網絡攻擊態勢的絕佳切入點。
全球新冠疫情浪潮之下未來VPN或將淪為網絡空間致命武器
儘管當前來看,「Fox Kitten」網絡間諜計劃被認為在執行偵察與監控,但在『得天獨厚「的入侵優勢下,可以大膽猜測,未來「Fox Kitten」或許會將VPN漏洞武器化,進一步部署更強殺傷力的網絡攻擊。
第一,部署數據擦除惡意軟體
通常,數據擦除軟體會通過擦除用戶設備,使其無法訪問所需要的應用程式和數據,並進一步攻擊共享網絡中的文件,雲服務上存儲的數據。而目前,伊朗黑客組織可能早已在相關目標上,部署了破壞公司網絡和業務運營的數據擦除惡意軟體,而此舉足以導致企業和政府的運營的停擺。
2012年,伊朗對陣沙特阿美時,曾利用Shamoon惡意軟體攻陷了石油巨頭約75%的電腦;而2019年9月,兩種新型數據擦除惡意軟體ZeroCleare和Dustman也被指與伊朗黑客有關。
第二,對企業客戶進行供應鏈攻擊
與此同時,伊朗黑客還可能利用對受感染公司的訪問權,進而對其客戶進行供應鏈攻擊。
這一推斷在FBI向美國私營部門發出的安全通告中得到了論證。通告顯示:「軟體供應鏈公司正在遭受持續攻擊,包括支持全球能源產出、傳輸和分發的工控系統的實體「。
FBI的同一警報還指出,這些攻擊中部署的惡意軟體與伊朗APT33組織先前使用的代碼之間存在關聯,強烈暗示伊朗黑客可能是這些攻擊的幕後黑手。
第三,「攻陷VPN->橫向移動」策略,發動更大範圍的攻擊
2019年12月下旬,巴林國家石油公司Bapco遭遇的一次數據擦除惡意軟體攻擊中,黑客通過VPN伺服器攻擊取得了Bapco網絡的訪問權,從而將數據擦除器加載到了中央防病毒軟體中,並進一步分發到了所有計算機,而此策略正與此次報告中披露的「攻陷VPN->橫向移動」策略如出一轍。
伊朗國家級APT,這個有著「世界頂級網絡殺器」稱號,並曾成功將沙特、阿聯、卡達等各國油氣和石油公司系統斬於馬下的黑客組織,在面對全球網絡戰態勢的嚴峻的當下,為爭奪未來國際網絡戰場的主動權,都在擅用自身VPN攻擊優勢,謀求全球網絡安全攻防戰略的長線布局。
在全球新冠疫情肆虐、「全球戒嚴」的當下,不止於謹防「Fox Kitten」網絡間諜計劃,VPN作為其中遠程辦公生命體的核心血液,或許早已成為更多國家級黑客組織預利用的對象。故而,此時此刻,基於VPN建立的安全服務顯得格外重要。
轉自丨國際安全智庫
研究所簡介
國際技術經濟研究所(IITE)成立於1985年11月,是隸屬於國務院發展研究中心的非營利性研究機構,主要職能是研究我國經濟、科技社會發展中的重大政策性、戰略性、前瞻性問題,跟蹤和分析世界科技、經濟發展態勢,為中央和有關部委提供決策諮詢服務。「全球技術地圖」為國際技術經濟研究所官方微信帳號,致力於向公眾傳遞前沿技術資訊和科技創新洞見。
地址:北京市海淀區小南莊20號樓A座
電話:010-82635522
微信:iite_er