全球疫情蔓延的當下，VPN漏洞或成國家級黑客攻擊的重頭戲

國際安全智庫發表於2020-03-16

【導讀】利用VPN漏洞發動攻擊，似乎越發成為疫情當下黑客入侵企業，佈局全球網路態勢的新手段。前段時間，國外某研究機構釋出一份報告，重磅爆出伊朗“Fox Kitten”的網路間諜計劃——利用未修補的VPN漏洞作為切入點，向全球政府和企業植入後門，引發安全界廣泛熱議。而今天，在新冠疫情全球範圍爆發，“全球戒嚴”勢在必行的當下，高度密切關注利用VPN漏洞發動全球性網路攻擊顯得尤為重要。

VPN（Virtual Private Network）：在公用網路上建立專用網路，通過對資料包的加密和資料包目標地址的轉換實現遠端訪問，在企業政府機構遠端辦公中起著舉足輕重的地位。而這也意味著，一旦VPN漏洞被黑客利用攻擊，企業將面臨巨大威脅。

2019年，大量企業的 VPN 伺服器中被指存在重大漏洞，加劇了VPN網路安全的嚴防態勢。然而，利用VPN漏洞發動攻擊來的比預想要快，而這一次便直指全球。

伊朗借VPN啟動“Fox Kitten”間諜計劃，全球範圍內重新佈局網路攻擊戰略

今年2月，國外某安全機構爆出一個名為“Fox Kitten”的網路間諜計劃。報告稱：該計劃可追溯至2017年，由伊朗國家級黑客組織運作，利用未修補的虛擬專用網漏洞作為切入點，悄悄助力伊朗在世界各地政府和企業組織中獲得持久立足點。而相關“潛伏與立足”，直到報導前似乎大部分都還沒有被發現。

而關於該“間諜計劃”，研究員評論道：“我們估計，這份報告中披露的戰役是伊朗迄今所揭示的最連續，最全面的戰役之一。” 而後還指出，伊朗APT組織的影響力與能力可能被低估了。

智庫梳理相關資訊，歸納了其四大特色，發現“Fox Kitten”計劃確有其震撼之處。

特色一：佈局全球並以關鍵基礎設施為目標，滲透各國核心新基建

“Fox Kitten”網路間諜計劃主要針對以色列組織，但也滲透到包括美國和澳大利亞在內的至少10個其他國家的目標。攻擊者在資訊科技公司、公用事業提供商、國防承包商、石油公司和航空業公司中取得了立足點。可以說，涵蓋了IT、電信、石油和天然氣、航空、安全領域的公司和政府機構等諸多關鍵領域。

雖然，這次計劃的主要目的是在很長一段時間內進行間諜活動和竊取資訊。然而，攻擊者也將攻擊基礎設施留在原地，以便快速有效地分發破壞性惡意軟體。

特色二：伊朗三大“APT組織”組合出擊、協調作戰

雖然是被用作偵察基礎設施，但此次“間諜計劃”動用了伊朗三大APT組織—— “Elfin”、“OilRig”和Chafer，並將其捆綁組合出擊。

Elfin是一個更加隱蔽的網路間諜組織，主要針對美國、韓國和沙烏地阿拉伯的航空和石化目標；

OilRig的活動在很大程度上與APT33重疊，但該組織更專注於中東，並因使用虛假的LinkedIn個人資料和邀請傳遞惡意軟體；

Chafer是一個專注於竊取個人資訊的組織，它建立了一個以電信和旅遊業為重點的廣泛的全球網路。

而以上三個組織還均以利用新的VPN漏洞而聞名。因而即使過去它們分散作戰、互不干擾，但此次，三大APT組織參與共同發起了這項針對全球的VPN伺服器攻擊活動。

特色三：多個VPN伺服器漏洞重磅出擊，令美國FBI釋出警報

而在工具利用上，伊朗黑客已將Pulse Secure VPN(CVE-2019-11510)、FortinetFortiOS VPN(CVE-2018-13379)、Palo Alto NetworksVPN(CVE-2019-1579)以及Citrix VPN(CVE-2019-19781)等漏洞定位為入侵大型公司的工具。

今年1月10日，美國網路安全和基礎設施安全域性(CISA)警告企業，修補其Pulse Secure VPN伺服器以防止利用漏洞CVE-2019-11510的攻擊。隨即美國聯邦調查局（FBI）也釋出安全警報，指責國家級（伊朗）黑客利用Pulse Secure VPN伺服器的嚴重漏洞，破壞了美國市政府和美國金融公司的網路。

特色四：最新VPN漏洞24小時內，即可被伊朗“攻下”利用

“天下武功，唯快不破”，或許伊朗黑客組織深諳此道。所以，當新的漏洞披露之後，他們總能在幾小時內迅速地加以部署，搶在補丁釋出之前，利用該漏洞對目標系統發起致命一擊。

據資料顯示，他們不僅能夠成功獲取對目標核心系統的訪問許可權，丟棄其他惡意軟體，並在網路上橫向傳播，與此同時，還特別擅長掩蓋他們的蹤跡，並在他們洩露資訊時對其存在保密。

從以上四大特色來看，這項針對全球VPN伺服器的Fox Kitten計劃，無疑是伊朗佈局全球網路攻擊態勢的絕佳切入點。

全球新冠疫情浪潮之下，未來VPN或將淪為網路空間致命武器

儘管當前來看，“Fox Kitten”網路間諜計劃被認為在執行偵察與監控，但在‘得天獨厚“的入侵優勢下，可以大膽猜測，未來“Fox Kitten”或許會將VPN漏洞武器化，進一步部署更強殺傷力的網路攻擊。

第一，部署資料擦除惡意軟體

通常，資料擦除軟體會通過擦除使用者裝置，使其無法訪問所需要的應用程式和資料，並進一步攻擊共享網路中的檔案，雲服務上儲存的資料。而目前，伊朗黑客組織可能早已在相關目標上，部署了破壞公司網路和業務運營的資料擦除惡意軟體，而此舉足以導致企業和政府的運營的停擺。

2012年，伊朗對陣沙特阿美時，曾利用Shamoon惡意軟體攻陷了石油巨頭約75%的電腦；而2019年9月，兩種新型資料擦除惡意軟體ZeroCleare和Dustman也被指與伊朗黑客有關。

第二，對企業客戶進行供應鏈攻擊

與此同時，伊朗黑客還可能利用對受感染公司的訪問權，進而對其客戶進行供應鏈攻擊。

這一推斷在FBI向美國私營部門發出的安全通告中得到了論證。通告顯示：“軟體供應鏈公司正在遭受持續攻擊，包括支援全球能源產出、傳輸和分發的工控系統的實體“。

FBI的同一警報還指出，這些攻擊中部署的惡意軟體與伊朗APT33組織先前使用的程式碼之間存在關聯，強烈暗示伊朗黑客可能是這些攻擊的幕後黑手。

第三，“攻陷VPN->橫向移動”策略，發動更大範圍的攻擊

2019年12月下旬，巴林國家石油公司Bapco遭遇的一次資料擦除惡意軟體攻擊中，黑客通過VPN伺服器攻擊取得了Bapco網路的訪問權，從而將資料擦除器載入到了中央防病毒軟體中，並進一步分發到了所有計算機，而此策略正與此次報告中披露的“攻陷VPN->橫向移動”策略如出一轍。

伊朗國家級APT，這個有著“世界頂級網路殺器”稱號，並曾成功將沙特、阿聯酋、卡達等各國油氣和石油公司系統斬於馬下的黑客組織，在面對全球網路戰態勢的嚴峻的當下，為爭奪未來國際網路戰場的主動權，都在擅用自身VPN攻擊優勢，謀求全球網路安全攻防戰略的長線佈局。

在全球新冠疫情肆虐、“全球戒嚴”的當下，不止於謹防“Fox Kitten”網路間諜計劃，VPN作為其中遠端辦公生命體的核心血液，或許早已成為更多國家級黑客組織預利用的物件。故而，此時此刻，基於VPN建立的安全服務顯得格外重要。

本文為國際安全智庫作品（微信公眾號：guoji-anquanzhiku）

如需轉載，請標註文章來源於：國際安全智庫