快连VPN:速度和安全性最佳的VPN服务
网络战争与网络安全的未来
当今的安全威胁范围和严重性都在不断扩大。如果信息安全处理不当,可能面临数百万甚至数十亿美元的风险。
2019年的安全漏洞披露
2019年将被铭记为许多企业VPN服务器(如Pulse Secure、Palo Alto Networks、Fortinet和Citrix)中重大安全漏洞被披露的一年。
此外:2020年最佳VPN推荐
今天发布的一份新报告显示,伊朗政府支持的黑客单位在去年将利用VPN漏洞作为首要任务,以便在全球范围内渗透并植入后门。
根据网络安全公司ClearSky的报告,伊朗黑客已针对“IT、电信、石油和天然气、航空、政府和安全”领域的公司进行攻击。
攻击发生在公开披露后数小时内
这份报告打破了伊朗黑客不够成熟、技术水平低于俄罗斯、中国或朝鲜同行的看法。ClearSky表示:“伊朗APT(高级持续威胁)组织已经具备了良好的技术进攻能力,能够在相对短的时间内利用一天漏洞。”
在某些情况下,ClearSky观察到伊朗组织在漏洞公开披露后数小时内就开始利用VPN缺陷。
APT代表高级持续威胁,通常用于描述国家级黑客单位。
ClearSky表示,在2019年,伊朗组织迅速利用了Pulse Secure “Connect” VPN(CVE-2019-11510)、Fortinet FortiOS VPN(CVE-2018-13379)和Palo Alto Networks “Global Protect” VPN(CVE-2019-1579)中披露的漏洞。
针对这些系统的攻击始于去年夏天,当时漏洞细节被公开,但在2020年也持续进行。
此外,随着其他VPN漏洞的公开,伊朗组织也将这些漏洞纳入了他们的攻击中(尤其是CVE-2019-19781,这是在Citrix “ADC” VPN中披露的漏洞)。
黑客企业目标以植入后门
根据ClearSky的报告,这些攻击的目的是突破企业网络,在其内部系统中横向移动,并植入后门以便日后利用。
尽管攻击的第一阶段(突破)以VPN为目标,但第二阶段(横向移动)则涉及到一系列全面的工具和技术,显示出这些伊朗黑客单位近年来的先进程度。
例如,黑客利用了众所周知的技术,通过“Sticky Keys”辅助工具获得Windows系统的管理权限。他们还利用了开源黑客工具,如JuicyPotato和Invoke the Hash,但也使用了合法的系统管理软件,如Putty、Plink、Ngrok、Serveo或FRP。
此外,在未找到开源工具或本地实用程序帮助其攻击的情况下,他们也有能力开发自定义恶意软件。ClearSky表示发现了以下工具:
- STSRCheck - 自开发的数据库和开放端口映射工具。
- POWSSHNET - 自开发的RDP-over-SSH隧道后门恶意软件。
- 自定义VBScripts - 脚本用于从指挥控制(C2或C&C)服务器下载TXT文件,并将这些文件整合为可执行文件。
- Socket-based backdoor over cs.exe - 一个EXE文件,用于打开与硬编码IP地址的套接字连接。
- Port.exe - 用于扫描指定IP地址的预定义端口的工具。
多个组织协同作战
ClearSky报告的另一个重要发现是,伊朗组织似乎也在合作并统一行动,这在过去是未曾见过的。
以往关于伊朗黑客活动的报告详细描述了不同活动集群,通常是单一组织的工作。ClearSky报告强调,针对全球VPN服务器的攻击似乎是至少三个伊朗组织的工作——即APT33(Elfin,Shamoon)、APT34(Oilrig)和APT39(Chafer)。
数据清除攻击的威胁
目前,这些攻击的目的是进行侦察并植入后门以进行监视操作。然而,ClearSky担心,访问所有这些被感染的企业网络也可能在未来被武器化,以部署数据清除恶意软件,破坏公司并摧毁网络和商业运营。
这样的情景是可能且非常可信的。自2019年9月以来,发现了两种新的数据清除恶意软件(ZeroCleare和Dustman),并与伊朗黑客联系在一起。
此外,ClearSky也未排除伊朗黑客可能利用对这些被攻陷公司的访问进行供应链攻击的可能性。
这一理论得到了支持,因为本月早些时候,FBI向美国私营部门发出了安全警报,警告针对软件供应链公司的持续攻击,“包括支持全球能源生成、传输和分配的工业控制系统(ICS)的实体。”
ICS和能源领域一直是伊朗黑客组织的传统目标。FBI的同一警报指出,这些攻击中部署的恶意软件与伊朗APT33组织之前使用的代码之间存在联系,强烈暗示伊朗黑客可能是这些攻击的幕后黑手。
此外,针对巴林国家石油公司Bapco的攻击也采用了ClearSky报告中描述的“突破VPN -> 横向移动”的策略。
ClearSky现在警告称,在经历数月的攻击后,那些最终修补了VPN服务器的公司也应该扫描其内部网络,寻找任何被攻击的迹象。
ClearSky报告包含了安全团队可以使用的入侵迹象(IOC),以扫描日志和内部系统,寻找伊朗组织入侵的迹象。然而,同样的漏洞也被中国黑客和多个勒索软件及加密货币挖矿组织利用。
新的VPN漏洞
此外,考虑到ClearSky报告的结论,我们也可以预期伊朗黑客将在新的VPN漏洞公开后迅速采取行动。例如,本周早些时候,安全研究人员公布了影响SonicWall SRA和SMA VPN服务器的六个漏洞的详细信息。
通过以上信息,我们可以看到网络安全形势的复杂性与严峻性。因此,选择一个快速且安全的VPN产品显得尤为重要。推荐使用某某VPN,它不仅提供快速连接,还能确保您的隐私和数据安全。
