全球疫情蔓延的當下,VPN漏洞或成國家級黑客攻擊的重頭戲

國際安全智庫發表於2020-03-16
【導讀】利用VPN漏洞發動攻擊,似乎越發成為疫情當下黑客入侵企業,佈局全球網路態勢的新手段。前段時間,國外某研究機構釋出一份報告,重磅爆出伊朗“Fox Kitten”的網路間諜計劃——利用未修補的VPN漏洞作為切入點,向全球政府和企業植入後門,引發安全界廣泛熱議。而今天,在新冠疫情全球範圍爆發,“全球戒嚴”勢在必行的當下,高度密切關注利用VPN漏洞發動全球性網路攻擊顯得尤為重要。
 
VPN(Virtual Private Network):在公用網路上建立專用網路,通過對資料包的加密和資料包目標地址的轉換實現遠端訪問,在企業政府機構遠端辦公中起著舉足輕重的地位。而這也意味著,一旦VPN漏洞被黑客利用攻擊,企業將面臨巨大威脅。
 
2019年,大量企業的 VPN 伺服器中被指存在重大漏洞,加劇了VPN網路安全的嚴防態勢。然而,利用VPN漏洞發動攻擊來的比預想要快,而這一次便直指全球。

伊朗借VPN啟動“Fox Kitten”間諜計劃,全球範圍內重新佈局網路攻擊戰略


今年2月,國外某安全機構爆出一個名為“Fox Kitten”的網路間諜計劃。報告稱:該計劃可追溯至2017年,由伊朗國家級黑客組織運作,利用未修補的虛擬專用網漏洞作為切入點,悄悄助力伊朗在世界各地政府和企業組織中獲得持久立足點。而相關“潛伏與立足”,直到報導前似乎大部分都還沒有被發現。
 
而關於該“間諜計劃”,研究員評論道:“我們估計,這份報告中披露的戰役是伊朗迄今所揭示的最連續,最全面的戰役之一。” 而後還指出,伊朗APT組織的影響力與能力可能被低估了。

智庫梳理相關資訊,歸納了其四大特色,發現“Fox Kitten”計劃確有其震撼之處。
 

特色一:佈局全球並以關鍵基礎設施為目標,滲透各國核心新基建


“Fox Kitten”網路間諜計劃主要針對以色列組織,但也滲透到包括美國和澳大利亞在內的至少10個其他國家的目標。攻擊者在資訊科技公司、公用事業提供商、國防承包商、石油公司和航空業公司中取得了立足點。可以說,涵蓋了IT、電信、石油和天然氣、航空、安全領域的公司和政府機構等諸多關鍵領域。

雖然,這次計劃的主要目的是在很長一段時間內進行間諜活動和竊取資訊。然而,攻擊者也將攻擊基礎設施留在原地,以便快速有效地分發破壞性惡意軟體。

特色二:伊朗三大“APT組織”組合出擊、協調作戰


雖然是被用作偵察基礎設施,但此次“間諜計劃”動用了伊朗三大APT組織—— “Elfin”、“OilRig”和Chafer,並將其捆綁組合出擊。

Elfin是一個更加隱蔽的網路間諜組織,主要針對美國、韓國和沙烏地阿拉伯的航空和石化目標;

OilRig的活動在很大程度上與APT33重疊,但該組織更專注於中東,並因使用虛假的LinkedIn個人資料和邀請傳遞惡意軟體;

Chafer是一個專注於竊取個人資訊的組織,它建立了一個以電信和旅遊業為重點的廣泛的全球網路。

而以上三個組織還均以利用新的VPN漏洞而聞名。因而即使過去它們分散作戰、互不干擾,但此次,三大APT組織參與共同發起了這項針對全球的VPN伺服器攻擊活動。

特色三:多個VPN伺服器漏洞重磅出擊,令美國FBI釋出警報


而在工具利用上,伊朗黑客已將Pulse Secure VPN(CVE-2019-11510)、FortinetFortiOS VPN(CVE-2018-13379)、Palo Alto NetworksVPN(CVE-2019-1579)以及Citrix VPN(CVE-2019-19781)等漏洞定位為入侵大型公司的工具。

今年1月10日,美國網路安全和基礎設施安全域性(CISA)警告企業,修補其Pulse Secure VPN伺服器以防止利用漏洞CVE-2019-11510的攻擊。隨即美國聯邦調查局(FBI)也釋出安全警報,指責國家級(伊朗)黑客利用Pulse Secure VPN伺服器的嚴重漏洞,破壞了美國市政府和美國金融公司的網路。
 

特色四:最新VPN漏洞24小時內,即可被伊朗“攻下”利用


“天下武功,唯快不破”,或許伊朗黑客組織深諳此道。所以,當新的漏洞披露之後,他們總能在幾小時內迅速地加以部署,搶在補丁釋出之前,利用該漏洞對目標系統發起致命一擊。

據資料顯示,他們不僅能夠成功獲取對目標核心系統的訪問許可權,丟棄其他惡意軟體,並在網路上橫向傳播,與此同時,還特別擅長掩蓋他們的蹤跡,並在他們洩露資訊時對其存在保密。
 
從以上四大特色來看,這項針對全球VPN伺服器的Fox Kitten計劃,無疑是伊朗佈局全球網路攻擊態勢的絕佳切入點。
 

全球新冠疫情浪潮之下,未來VPN或將淪為網路空間致命武器


儘管當前來看,“Fox Kitten”網路間諜計劃被認為在執行偵察與監控,但在‘得天獨厚“的入侵優勢下,可以大膽猜測,未來“Fox Kitten”或許會將VPN漏洞武器化,進一步部署更強殺傷力的網路攻擊。
 

第一,部署資料擦除惡意軟體


通常,資料擦除軟體會通過擦除使用者裝置,使其無法訪問所需要的應用程式和資料,並進一步攻擊共享網路中的檔案,雲服務上儲存的資料。而目前,伊朗黑客組織可能早已在相關目標上,部署了破壞公司網路和業務運營的資料擦除惡意軟體,而此舉足以導致企業和政府的運營的停擺。

2012年,伊朗對陣沙特阿美時,曾利用Shamoon惡意軟體攻陷了石油巨頭約75%的電腦;而2019年9月,兩種新型資料擦除惡意軟體ZeroCleare和Dustman也被指與伊朗黑客有關。
 

第二,對企業客戶進行供應鏈攻擊


與此同時,伊朗黑客還可能利用對受感染公司的訪問權,進而對其客戶進行供應鏈攻擊。

這一推斷在FBI向美國私營部門發出的安全通告中得到了論證。通告顯示:“軟體供應鏈公司正在遭受持續攻擊,包括支援全球能源產出、傳輸和分發的工控系統的實體“。

FBI的同一警報還指出,這些攻擊中部署的惡意軟體與伊朗APT33組織先前使用的程式碼之間存在關聯,強烈暗示伊朗黑客可能是這些攻擊的幕後黑手。

第三,“攻陷VPN->橫向移動”策略,發動更大範圍的攻擊


2019年12月下旬,巴林國家石油公司Bapco遭遇的一次資料擦除惡意軟體攻擊中,黑客通過VPN伺服器攻擊取得了Bapco網路的訪問權,從而將資料擦除器載入到了中央防病毒軟體中,並進一步分發到了所有計算機,而此策略正與此次報告中披露的“攻陷VPN->橫向移動”策略如出一轍。
 
伊朗國家級APT,這個有著“世界頂級網路殺器”稱號,並曾成功將沙特、阿聯酋、卡達等各國油氣和石油公司系統斬於馬下的黑客組織,在面對全球網路戰態勢的嚴峻的當下,為爭奪未來國際網路戰場的主動權,都在擅用自身VPN攻擊優勢,謀求全球網路安全攻防戰略的長線佈局。
 
在全球新冠疫情肆虐、“全球戒嚴”的當下,不止於謹防“Fox Kitten”網路間諜計劃,VPN作為其中遠端辦公生命體的核心血液,或許早已成為更多國家級黑客組織預利用的物件。故而,此時此刻,基於VPN建立的安全服務顯得格外重要。

本文為國際安全智庫作品 (微信公眾號:guoji-anquanzhiku)

如需轉載,請標註文章來源於:國際安全智庫


lOgYDI.png 

相關文章