快连VPN:速度和安全性最佳的VPN服务
近年来,伊朗黑客组织针对企业VPN的攻击活动愈发频繁,他们不仅成功入侵了多家企业的内部网络,还通过地下论坛向其他黑客出售这些被入侵网络的访问权限,以谋取丰厚的利益。这些攻击主要针对IT、电信、油气、航空、政府和安全行业的企业。
一、伊朗国家黑客在地下论坛出售受害企业的访问权限
1. 黑客组织的攻击历史
2020年9月1日,知名网络安全公司Crowdstrike发布了一份报告,指出一个由伊朗国家资助的黑客组织正在地下论坛上出售受害企业网络的访问权限。该组织被称为Pioneer Kitten,亦称“Fox Kitten”或“Parisite”。Crowdstrike认为该组织受伊朗政府支持,并在2019年多次通过VPN及网络设备中的漏洞入侵企业网络,包括:
- Pulse Secure “Connect”企业VPN中的漏洞 (CVE-2019-11510)
- Fortinet VPN服务器中的漏洞 (CVE-2019-1579)
- Citrix “ADC”服务器和网络网关漏洞 (CVE-2019-19781)
- F5 Networks BIG-IP加载平衡器 (CVE-2020-5902)
根据ClearSky和Dragos的报告,Pioneer Kitten组织利用这些漏洞植入后门,并为其他伊朗黑客组织(如APT33、Shamoon、ATP34或Chafer)提供访问权限。这些组织利用后门进行进一步攻击,窃取伊朗政府感兴趣的敏感信息。
2. 黑客组织的商业化运作
在2020年9月,Pioneer Kitten被发现正在黑客论坛上出售对受害企业网络的访问权限,这一行为至少从7月开始。Crowdstrike认为,这一黑客组织试图多样化收入来源,将对伊朗情报机构无价值的漏洞进行回收再利用,以获得巨额利润。其常见目标包括位于美国、以色列及中东地区的企业,行业涵盖国防、医疗、技术和政府等。
二、伊朗国家黑客滥用VPN漏洞,入侵全球企业内网植入后门
伊朗国家黑客组织自2019年起频繁入侵企业VPN服务器,植入后门,成为全球网络安全的重大威胁。许多企业VPN服务器被发现存在严重安全漏洞,如Pulse Secure、Palo Alto Networks、Fortinet和Citrix的VPN服务器。
1. 快速利用公开漏洞
报告指出,伊朗黑客组织具备高超的黑客技术,能够在漏洞公开数小时内发动攻击。ClearSky公司表示,伊朗APT组织已开发出良好的技术攻击能力,能够迅速利用新公开的漏洞进行攻击。
2. 入侵企业并植入后门
这些攻击的目标是入侵企业网络,横向移动并植入后门。攻击的第一阶段是攻陷VPN,第二阶段则涉及全面收集工具和技术。近年来,伊朗黑客组织已经变得更加高级,他们滥用已知技术,通过“StickyKeys”工具获取管理员权限,并利用开源黑客工具如JuicyPotato和Invoke the Hash。
3. 多个黑客组织协同作战
报告指出,伊朗黑客组织之间存在协作行为,攻击全球VPN服务器的行动似乎至少由三个伊朗黑客组织联合进行,包括APT33(Elfin、Shamoon)、APT34(Oilrig)和APT39(Chafer)。
4. 数据清洗攻击的潜在威胁
当前,这些攻击的目的不仅是实施侦察,还可能为将来的数据清洗攻击埋下伏笔。报告指出,受感染企业网络的访问权限未来可能被武器化,用于部署数据清洗恶意软件,导致企业业务受损。
5. 新型VPN缺陷的利用
ClearSky在报告总结中指出,预计伊朗国家黑客组织将在新型VPN缺陷公开后寻找利用机会,未来可能会针对SonicWall SRA和SMA VPN服务器展开攻击。
总结
近年来,伊朗国家黑客组织频繁滥用企业VPN漏洞,入侵全球企业内网并植入后门,甚至公然在地下论坛上出售访问权限。这一现象警示我们,在互联网时代,虽然高科技技术带来了便利,但同时也伴随着网络信息安全隐患。作为信息安全领域的先锋企业,中科信安致力于为政府部门及各行业企业提供先进、安全的产品和解决方案,提升网络信息安全防护能力。
声明: 本文来自FreeBuf,版权归作者所有,文章内容仅代表作者独立观点,不代表安全内参立场。如有侵权,请联系 anquanneican@163.com。
