APT33：專門竊取能源與航空航天企業商業機密

E安全9月22日訊 根據美國網路安全廠商FireEye公司於本周三發布的最新研究結果，某伊朗黑客組織至少自2013年來一直針對沙烏地阿拉伯、韓國以及美國的各航空航天與能源企業開展入侵活動，並將此作為其大規模網路間諜活動的一部分，旨在大量收集情報並竊取商業機密。

APT33黑客組織或與伊朗政府有關

該高級持續威脅（APT）組織被FireEye公司標記為APT33。在本周三的報告當中，FireEye公司還提出了與該組織近期活動相關的一個獨特觀點——這支伊朗黑客團隊很可能與今年3月被卡巴斯基實驗室命名為「StoneDrill」的黑客活動有關。而根據以往攻擊當中偶然遺漏的資料，分析人士還認定APT33與伊朗政府有所關聯。

截至目前，該組織的主要活動集中在向目標網路發送包含惡意HTML鏈接的釣魚郵件，旨在利用被稱為「TURNEDUP」的一種定製化後門以感染目標計算機。但也有證據表明，該黑客組織亦有能力針對有價值基礎設施企業進行數據清除類攻擊活動。

APT33方面使用一款名為「DROPSHOT」的「投彈」工具，此工具與此前其它伊朗黑客組織曾經使用的破壞性惡意軟體有所關聯。而共享工具方案的作法可能代表著，APT33與其它已知伊朗黑客組織也許存在往來。

FireEye公司的一位研究人員報告稱，「儘管我們僅直接觀察到APT33利用DROPSHOT交付TURNEDUP後門，但我們同時也在其它案例當中發現多起利用DROPSHOT注入惡意軟體SHAPESHIFT的作法。SHAPESHIFT惡意軟體能夠清除磁碟內容、擦除分卷並刪除文件，具體取決於其配置方式。」

APT33目標定位配置文件

APT33註冊有多個域名，並藉此將自身偽裝為航空公司及歐美承包商。這些網站在設計上儘可能貼近沙烏地阿拉伯的合法企業，但其中卻充斥著大量偽造信息。這些域名亦很可能被應用到網路釣魚郵件中，旨在強化對受害者的誘導能力。

FireEye公司情報分析總監John Hultquist（約翰·赫爾特奎斯特）指出，「從我們的角度來看，這很像是一次經典的間諜活動，而且未來也許將引發更為嚴重的破壞性後果。這說明伊朗正在努力建立網路能力，以供其不同團隊加進行使用。」

這已經不是伊朗第一次因針對外國實體發動網路攻擊而受到譴責。卡巴斯基實驗室、FireEye、RSA乃至Palo Alto Networks等各大知名網路安全企業都曾經發現與伊朗黑客組織相關的數據竊取行為；而其也被NewsCaster、RocketKitten以及GreenBug等各廠商命名為不同的名號。

FireEye公司的調查結果則再次強調，伊朗政府正在持續投入數額可觀的資金，旨在建立起一支有能力進行遠程情報收集、發動破壞性攻擊、竊取知識產權的專業黑客隊伍。

在最近的一次公開講話中，美國網路安全廠商CrowdStrike公司聯合創始人Dmitri Alperovitch（迪米特里·阿爾伯歐維奇）向華盛頓特區的一位聽眾解釋稱，伊朗目前正越來越多地利用商業間諜活動推動自身經濟發展。CrowdStrike公司此前一直以與民主黨全國委員會緊密合作而聞名。

Hultquist強調稱，FireEye公司親自發現了六起由APT33所發起的網路攻擊事件。他同時指出，FireEye公司意識到這一切很可能只是APT33違法活動當中的一小部分，不過他拒絕透露受到潛在影響的企業的具體數量。

研究人員們已經成功利用一封失敗的APT33釣魚魚郵件拼湊出關於其作者的相關細節，包括原始用戶名「xman_1365_x」。根據FireEye公司的說法，這種「xman」打頭的化名在伊朗互聯網論壇上相當常見——其中包括某個被黑客們廣泛使用的軟體工程留言板，此論壇被懷疑與納斯爾研究所有關。

納斯爾研究所「相當於伊朗的『網路部隊』，且受控於伊朗政府。」FireEye公司在其關於APT33的研究報告中同時指出，「另有證據表明，『納斯爾研究所』與2011年到2013年之間針對金融行業的攻擊活動有所關聯，而這一系列拒絕服務攻擊被統稱為『阿巴比行動』。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！