據《The Record》報道,美國網絡司令部周三透露,一個以網絡間諜活動聞名的黑客組織實際上是伊朗情報機構的一部分。美國網絡司令部下屬的國家網絡任務部隊宣布,這個被稱為“MuddyWater”的組織是伊朗情報和安全部的一個下屬機關。
這一說法标志着美國政府首次公開将這一多産的威脅行為者--其目标從學術界和旅遊業到政府和電信營運商--與伊朗情報機構聯系起來。
“美國網絡司令部已經介入。”SentinelOne公司的首席威脅研究員J.A. Guerrero-Saade在Twitter上提到伊朗的伊斯蘭革命衛隊時說:“MuddyWater歸屬于伊朗的MOIS(而不是一些人認為的IRGC)。”
美國網絡司令部與美國聯邦調查局合作,還将全球各地雇用伊朗情報人員的多個開源惡意軟體工具上傳到流行的惡意軟體庫VirusTotal。
“如果你看到這些工具的組合,伊朗MOIS行為者MuddyWater可能在你的網絡中,”美國網絡司令部在這十個條目的頂部警告說。
“我們堅持不懈地釋出惡意軟體,以使我們整個國家的防禦。公開披露惡意的網絡活動或行為者,使美國的利益和我們的合作夥伴得到保護。#CyberIsATeamSport,”美國網絡司令部的官方Twitter賬戶發推文說。
在一份聲明中,美國網絡司令部的發言人拒絕透露該組織是如何發現這些惡意工具的,或者這些樣本是否是由第三方提供的。
“我們不讨論CNMF團隊釋出的惡意軟體樣本的來源。這些惡意軟體樣本中的一些是已經在公共領域的其他惡意軟體的變種--這次披露的獨特之處在于,它提供了伊朗惡意網絡行為者可能通過使用惡意軟體收集資訊的整體情況。”
據悉,MuddyWater,有時被稱為SeedWorm,至少從2015年開始就進行了間諜活動。
上個月,賽門鐵克的威脅獵手團隊釋出研究報告,發現該組織在過去6個月中針對整個中東和亞洲的電信營運商和IT服務組織。
研究人員的結論是,所涉及的目标和戰術--攻擊者依靠公開的惡意軟體和遠端管理及安全評估工具來竊取憑證,在整個網絡中移動--“與伊朗贊助的行為者一緻”,但沒有将該活動歸于伊朗政府。
在美國網絡司令部強調的惡意軟體樣本中,有一些PowGoop的變種,這是一種虛假的Google更新機制。其中包括一個賦予攻擊者指揮和控制功能的變體,以及另外兩個作為信标的變體,從被攻擊的網絡中聯系惡意的基礎設施。其他樣本包括惡意的JavaScript檔案和一個版本的Mori後門。