根據(jù)美國網(wǎng)絡安全廠商FireEye公司于本周三發(fā)布的最新研究結果，某伊朗黑客組織至少自2013年來一直針對沙特阿拉伯、韓國以及美國的各航空航天與能源企業(yè)開展入侵活動，并將此作為其大規(guī)模網(wǎng)絡間諜活動的一部分，旨在大量收集情報并竊取商業(yè)機密。

該高級持續(xù)威脅（APT）組織被FireEye公司標記為APT33。在本周三的報告當中，F(xiàn)ireEye公司還提出了與該組織近期活動相關的一個獨特觀點——這支伊朗黑客團隊很可能與今年3月被卡巴斯基實驗室命名為“StoneDrill”的黑客活動有關。而根據(jù)以往攻擊當中偶然遺漏的資料，分析人士還認定APT33與伊朗政府有所關聯(lián)。

截至目前，該組織的主要活動集中在向目標網(wǎng)絡發(fā)送包含惡意HTML鏈接的釣魚郵件，旨在利用被稱為“TURNEDUP”的一種定制化后門以感染目標計算機。但也有證據(jù)表明，該黑客組織亦有能力針對有價值基礎設施企業(yè)進行數(shù)據(jù)清除類攻擊活動。

APT33方面使用一款名為“DROPSHOT”的“投彈”工具，此工具與此前其它伊朗黑客組織曾經(jīng)使用的破壞性惡意軟件有所關聯(lián)。而共享工具方案的作法可能代表著，APT33與其它已知伊朗黑客組織也許存在往來。

FireEye公司的一位研究人員報告稱，“盡管我們僅直接觀察到APT33利用DROPSHOT交付TURNEDUP后門，但我們同時也在其它案例當中發(fā)現(xiàn)多起利用DROPSHOT注入惡意軟件SHAPESHIFT的作法。SHAPESHIFT惡意軟件能夠清除磁盤內(nèi)容、擦除分卷并刪除文件，具體取決于其配置方式。”

APT33目標定位配置文件

APT33注冊有多個域名，并借此將自身偽裝為航空公司及歐美承包商。這些網(wǎng)站在設計上盡可能貼近沙特阿拉伯的合法企業(yè)，但其中卻充斥著大量偽造信息。這些域名亦很可能被應用到網(wǎng)絡釣魚郵件中，旨在強化對受害者的誘導能力。

FireEye公司情報分析總監(jiān)John Hultquist（約翰·赫爾特奎斯特）指出，“從我們的角度來看，這很像是一次經(jīng)典的間諜活動，而且未來也許將引發(fā)更為嚴重的破壞性后果。這說明伊朗正在努力建立網(wǎng)絡能力，以供其不同團隊加進行使用。”

這已經(jīng)不是伊朗第一次因針對外國實體發(fā)動網(wǎng)絡攻擊而受到譴責。卡巴斯基實驗室、FireEye、RSA乃至Palo Alto Networks等各大知名網(wǎng)絡安全企業(yè)都曾經(jīng)發(fā)現(xiàn)與伊朗黑客組織相關的數(shù)據(jù)竊取行為；而其也被NewsCaster、RocketKitten以及GreenBug等各廠商命名為不同的名號。

FireEye公司的調查結果則再次強調，伊朗政府正在持續(xù)投入數(shù)額可觀的資金，旨在建立起一支有能力進行遠程情報收集、發(fā)動破壞性攻擊、竊取知識產(chǎn)權的專業(yè)黑客隊伍。

在最近的一次公開講話中，美國網(wǎng)絡安全廠商CrowdStrike公司聯(lián)合創(chuàng)始人Dmitri Alperovitch（迪米特里·阿爾伯歐維奇）向華盛頓特區(qū)的一位聽眾解釋稱，伊朗目前正越來越多地利用商業(yè)間諜活動推動自身經(jīng)濟發(fā)展。CrowdStrike公司此前一直以與民主黨全國委員會緊密合作而聞名。

Hultquist強調稱，F(xiàn)ireEye公司親自發(fā)現(xiàn)了六起由APT33所發(fā)起的網(wǎng)絡攻擊事件。他同時指出，F(xiàn)ireEye公司意識到這一切很可能只是APT33違法活動當中的一小部分，不過他拒絕透露受到潛在影響的企業(yè)的具體數(shù)量。

研究人員們已經(jīng)成功利用一封失敗的APT33釣魚魚郵件拼湊出關于其作者的相關細節(jié)，包括原始用戶名“xman_1365_x”。根據(jù)FireEye公司的說法，這種“xman”打頭的化名在伊朗互聯(lián)網(wǎng)論壇上相當常見——其中包括某個被黑客們廣泛使用的軟件工程留言板，此論壇被懷疑與納斯爾研究所有關。

納斯爾研究所“相當于伊朗的‘網(wǎng)絡部隊’，且受控于伊朗政府。”FireEye公司在其關于APT33的研究報告中同時指出，“另有證據(jù)表明，‘納斯爾研究所’與2011年到2013年之間針對金融行業(yè)的攻擊活動有所關聯(lián)，而這一系列拒絕服務攻擊被統(tǒng)稱為‘阿巴比行動’。”