大家好，我是零日情報局。

本文首發於公眾號零日情報局，微信ID：lingriqingbaoju。

這幾天，有安全公司一次性披露了伊朗APT組織自建的21個專用VPN網路。

自建VPN不稀奇，稀奇的是一次追蹤到21個，甚至通過VPN網路，該組織的監聽動向、基礎架構、攻擊目標也都逐一浮出水面。

任誰也很難想到，這家黑客組織就是曾讓沙烏地阿拉伯國家石油公司癱瘓數週的APT33。

始於21個專用IP地址被捕捉

自建VPN卻意外暴露行蹤，其實是APT33聰明反被聰明誤。

所謂VPN，就是利用公用網路架設的專用網路。達到聯網目的同時，又能加密VPN伺服器和客戶機之間的通訊資料。多數黑客都喜歡用這種方式，隱藏真實IP地址和位置，以此躲避反追蹤。

APT33建立自己的專用VPN網路，也是出去隱藏的目的。畢竟從資料中心租用伺服器，再使用OpenVPN之類的開源軟體搭建專用VPN，並不複雜。想不到的是，原本用於隱藏的VPN網路，成了APT33暴露的關鍵。

相比於海量的商用VPN，自建VPN的數量相對少且明顯。安全研究員們只需留意那些特別的IP地址，就可以更快速地從中找到黑客組織，APT33就是這樣洩露了行蹤。

反倒是，那些APT33不相信的商業VPN網路，也許才能隱藏他們的行蹤。因為在海量的商用VPN網路中，安全研究員想找到APT33，和大海撈針沒什麼區別。

估計APT33也想不到，自己精心的隱藏策略卻直接暴露了行蹤。目前追蹤到的APT33關聯IP地址，已全部公佈出來，具體如下：

（21個APT33專用VPN網路IP地址）

繼而APT33的四層架構被起底

有了IP地址，能做的事情就多了。安全研究員們終於摸清了伊朗最複雜黑客組織APT33的基礎架構。這才發現，用以隱藏真實IP地址和位置的VPN網路，其實只是APT33與攻擊目標建立關聯的第一層關係。

（APT33與攻擊目標之間的4層基礎架構圖）

安全研究員通過手繪的方式，分享了APT33與目標之間的四層架構。

1.VPN：隱藏APT33真實IP地址的VPN定製網路；

2.Bot Controller layer：伺服器中間隔離層；

3.C&C Backend layer：管理惡意軟體殭屍網路的實際後端伺服器；

4.Proxy layer：隱藏受感染主機的雲伺服器，C＆C伺服器。

顯而易見，多達四層的架構，其實是APT33精心打造的分層、隔離體系，只是沒想到第一層VPN網路就讓他們暴露了。

攻擊路徑目標再難隱藏

除此之外，安全研究員在追蹤VPN網路時，發現APT33攻擊路徑直指美國、中東地區。不僅從已披露專用VPN中，找到了定向瞄準石油行業供應鏈，專門監視中東石油勘探公司、軍事醫院，以及美國石油公司的網路，還發現了APT33攻擊路徑與核心目標。

2019年7月，APT33將Outlook漏洞武器化，通過魚叉式網路釣魚攻擊的方式，把惡意軟體植入到美國政府網站，並試圖從Outlook沙箱中逃脫，以及在網站底層作業系統上執行惡意程式碼，致使美國網路司令部全網釋出安全警報。

（美國網路司令部全網釋出安全警報）

2018年12月，APT33使用新版Shamoon惡意軟體，定向破壞義大利石油天然氣承包商Saipem公司網路，銷燬該公司10％的檔案，致使中東、印度、義大利、蘇格蘭石油交易系統遭受不同程度破壞。而義大利被牽扯進來，關鍵就在於該公司是沙特阿美石油公司的主要外國承包商。

（APT33使用Shamoon發起網路攻擊概況）

2012年8月，APT33利用Shamoon（DistTrack）磁碟擦除惡意軟體，惡意摧毀沙特阿美石油公司（Saudi Aramco）35,000多臺計算機資料，用燃燒的美國國旗影象替換全部資料，致使公司停擺數週，嚴重影響全球石油交易。

（APT33攻擊沙特阿美石油公司時間程式）

（APT33攻擊銷燬沙特阿美石油公司PC上四分之三資料）

從攻擊路徑與目標來看，APT33這家伊朗黑客組織，不僅緊盯死敵沙烏地阿拉伯，更一直試圖通過定向打擊石油系統、政府網路，進而報復性打擊沙烏地阿拉伯與美國。

零日反思

一直以來，APT威脅作為地緣政治、情報活動意圖下的網路間諜活動，長久且持續地威脅著政府、軍隊、外交、國防，乃至科研、能源以及國家基礎設施性質等諸多領域的安全。但想要在數以千萬計的惡意軟體中，保護組織團體免於APT攻擊，遠比想象的艱難。

此次VPN網路曝光APT33行蹤的事件，也許可以給我們帶來一些新的啟發，以便於今後追蹤防範APT攻擊。