【导读】利用VPN漏洞发动攻击,似乎越发成为疫情当下黑客入侵企业,布局全球网络态势的新手段。前段时间,国外某研究机构发布一份报告,重磅爆出伊朗“Fox Kitten”的网络间谍计划——利用未修补的VPN漏洞作为切入点,向全球政府和企业植入后门,引发安全界广泛热议。而今天,在新冠疫情全球范围爆发,“全球戒严”势在必行的当下,高度密切关注利用VPN漏洞发动全球性网络攻击显得尤为重要。
VPN(Virtual Private Network):在公用网络上建立专用网络,通过对数据包的加密和数据包目标地址的转换实现远程访问,在企业政府机构远程办公中起着举足轻重的地位。而这也意味着,一旦VPN漏洞被黑客利用攻击,企业将面临巨大威胁。
2019年,大量企业的 VPN 服务器中被指存在重大漏洞,加剧了VPN网络安全的严防态势。然而,利用VPN漏洞发动攻击来的比预想要快,而这一次便直指全球。
伊朗借VPN启动“Fox Kitten”间谍计划,全球范围内重新布局网络攻击战略
今年2月,国外某安全机构爆出一个名为“Fox Kitten”的网络间谍计划。报告称:该计划可追溯至2017年,由伊朗国家级黑客组织运作,利用未修补的虚拟专用网漏洞作为切入点,悄悄助力伊朗在世界各地政府和企业组织中获得持久立足点。而相关“潜伏与立足”,直到报道前似乎大部分都还没有被发现。
而关于该“间谍计划”,研究员评论道:“我们估计,这份报告中披露的战役是伊朗迄今所揭示的最连续,最全面的战役之一。” 而后还指出,伊朗APT组织的影响力与能力可能被低估了。
智库梳理相关信息,归纳了其四大特色,发现“Fox Kitten”计划确有其震撼之处。
特色一:布局全球并以关键基础设施为目标,渗透各国核心新基建
“Fox Kitten”网络间谍计划主要针对以色列组织,但也渗透到包括美国和澳大利亚在内的至少10个其他国家的目标。攻击者在信息技术公司、公用事业提供商、国防承包商、石油公司和航空业公司中取得了立足点。可以说,涵盖了IT、电信、石油和天然气、航空、安全领域的公司和政府机构等诸多关键领域。
虽然,这次计划的主要目的是在很长一段时间内进行间谍活动和窃取信息。然而,攻击者也将攻击基础设施留在原地,以便快速有效地分发破坏性恶意软件。
特色二:伊朗三大“APT组织”组合出击、协调作战
虽然是被用作侦察基础设施,但此次“间谍计划”动用了伊朗三大APT组织—— “Elfin”、“OilRig”和Chafer,并将其捆绑组合出击。
Elfin是一个更加隐蔽的网络间谍组织,主要针对美国、韩国和沙特阿拉伯的航空和石化目标;
OilRig的活动在很大程度上与APT33重叠,但该组织更专注于中东,并因使用虚假的LinkedIn个人资料和邀请传递恶意软件;
Chafer是一个专注于窃取个人信息的组织,它建立了一个以电信和旅游业为重点的广泛的全球网络。
而以上三个组织还均以利用新的VPN漏洞而闻名。因而即使过去它们分散作战、互不干扰,但此次,三大APT组织参与共同发起了这项针对全球的VPN服务器攻击活动。
特色三:多个VPN服务器漏洞重磅出击,令美国FBI发布警报
而在工具利用上,伊朗黑客已将Pulse Secure VPN(CVE-2019-11510)、FortinetFortiOS VPN(CVE-2018-13379)、Palo Alto NetworksVPN(CVE-2019-1579)以及Citrix VPN(CVE-2019-19781)等漏洞定位为入侵大型公司的工具。
今年1月10日,美国网络安全和基础设施安全局(CISA)警告企业,修补其Pulse Secure VPN服务器以防止利用漏洞CVE-2019-11510的攻击。随即美国联邦调查局(FBI)也发布安全警报,指责国家级(伊朗)黑客利用Pulse Secure VPN服务器的严重漏洞,破坏了美国市政府和美国金融公司的网络。
特色四:最新VPN漏洞24小时内,即可被伊朗“攻下”利用
“天下武功,唯快不破”,或许伊朗黑客组织深谙此道。所以,当新的漏洞披露之后,他们总能在几小时内迅速地加以部署,抢在补丁发布之前,利用该漏洞对目标系统发起致命一击。
据资料显示,他们不仅能够成功获取对目标核心系统的访问权限,丢弃其他恶意软件,并在网络上横向传播,与此同时,还特别擅长掩盖他们的踪迹,并在他们泄露信息时对其存在保密。
从以上四大特色来看,这项针对全球VPN服务器的Fox Kitten计划,无疑是伊朗布局全球网络攻击态势的绝佳切入点。
全球新冠疫情浪潮之下,未来VPN或将沦为网络空间致命武器
尽管当前来看,“Fox Kitten”网络间谍计划被认为在执行侦察与监控,但在‘得天独厚“的入侵优势下,可以大胆猜测,未来“Fox Kitten”或许会将VPN漏洞武器化,进一步部署更强杀伤力的网络攻击。
第一,部署数据擦除恶意软件
通常,数据擦除软件会通过擦除用户设备,使其无法访问所需要的应用程序和数据,并进一步攻击共享网络中的文件,云服务上存储的数据。而目前,伊朗黑客组织可能早已在相关目标上,部署了破坏公司网络和业务运营的数据擦除恶意软件,而此举足以导致企业和政府的运营的停摆。
2012年,伊朗对阵沙特阿美时,曾利用Shamoon恶意软件攻陷了石油巨头约75%的电脑;而2019年9月,两种新型数据擦除恶意软件ZeroCleare和Dustman也被指与伊朗黑客有关。
第二,对企业客户进行供应链攻击
与此同时,伊朗黑客还可能利用对受感染公司的访问权,进而对其客户进行供应链攻击。
这一推断在FBI向美国私营部门发出的安全通告中得到了论证。通告显示:“软件供应链公司正在遭受持续攻击,包括支持全球能源产出、传输和分发的工控系统的实体“。
FBI的同一警报还指出,这些攻击中部署的恶意软件与伊朗APT33组织先前使用的代码之间存在关联,强烈暗示伊朗黑客可能是这些攻击的幕后黑手。
第三,“攻陷VPN->横向移动”策略,发动更大范围的攻击
2019年12月下旬,巴林国家石油公司Bapco遭遇的一次数据擦除恶意软件攻击中,黑客通过VPN服务器攻击取得了Bapco网络的访问权,从而将数据擦除器加载到了中央防病毒软件中,并进一步分发到了所有计算机,而此策略正与此次报告中披露的“攻陷VPN->横向移动”策略如出一辙。
伊朗国家级APT,这个有着“世界顶级网络杀器”称号,并曾成功将沙特、阿联酋、卡塔尔等各国油气和石油公司系统斩于马下的黑客组织,在面对全球网络战态势的严峻的当下,为争夺未来国际网络战场的主动权,都在擅用自身VPN攻击优势,谋求全球网络安全攻防战略的长线布局。
在全球新冠疫情肆虐、“全球戒严”的当下,不止于谨防“Fox Kitten”网络间谍计划,VPN作为其中远程办公生命体的核心血液,或许早已成为更多国家级黑客组织预利用的对象。故而,此时此刻,基于VPN建立的安全服务显得格外重要。
本文为国际安全智库作品 (微信公众号:guoji-anquanzhiku)
如需转载,请标注文章来源于:国际安全智库