北京吉利大学招生网伊朗黑客：网络“反美斗士”的前世今生-网安视界

伊朗黑客：网络“反美斗士”的前世今生-网安视界

编者按
8月3日，据外媒消息，伊朗黑客组织构造虚假在线形象，用“甜蜜陷阱”对中东大量组织机构发动了网络攻击。此事激起千层浪，本期界小编为您盘点。
伊朗黑客制造“甜蜜陷阱”
中东大量组织上钩
SecureWorks 的研究人员表示，名为 COBALT GYPSY（或 TG-2889）的黑客组织疑似与伊朗政府存在直接关系。之前就有报道称，这个黑客组织与著名的 Shamoon 等多起攻击有关。TG-2889 组织当前正利用恶意程序眼泪的上游，对中东的通讯、政府、防御、石油和金融服务机构发动网络欺诈。他们针对中东和南美发动钓鱼攻击，利用PupyRAT开源RAT集中攻击沙特阿拉伯的组织机构。
此外，TG-2889 还发动了鱼叉式钓鱼和社工攻击。该组织成员伪装成名为 Mia Ash 的女性，甚至还为这个身份设置了一套完整的社交媒体形象资料。从去年4月份开始少年卫斯理 ，他们就利用Mia Ash 的身份展开行动。据说 Mia Ash 会去动联系目标机构的员工，在接触几个月后就会给目标发送恶意Excel文档。

TG-2889 在去年年末的钓鱼攻击中则采用了短URL的方式，导向一个启用宏的Word文档，执行 PowerShell 命令下载PupyRAT晏子辞千金。SecureWorks 表示十国千娇，这个黑客组织可能构建了多个在线形象，以社工的方式发动攻击。同时，利用类似 Mia Ash 的身份发起攻击也的确相当凑效。
伊朗黑客——美国不容小觑的网络对手
伊朗是众多阿拉伯兄弟中出类拔萃的强大存在，自2010年“Stuxnet病毒”破坏了伊朗核设施后，该国就一直在建设自己的网络攻击力量，并逐渐发展成为网络空间最具攻击性的国家之一。虽不及以色列的强大攻势，但其在网络战争中的实力还是有目共睹的，下面就梳理一些“战绩”大家自行感受：
2008年入侵土耳其石油管道，引发爆炸；
2009年12月，攻击Twitter对其首页进行篡改；
2010年1月，攻击百度首页对其进行篡改；
2011年俘获“哨兵”隐形侦察机令美国大跌眼镜；
2012年成功入侵包括韩国、阿联酋、巴基斯坦在内的多个商业航空公司的安全系统；
2013年黑客破坏纽约大坝；
2014年拉斯维加斯Sands被wiper恶意软件攻击；
在2015年2月的一次参议院军事委员会上，美国国家情报局局长詹姆斯·克拉珀（James Clapper）曾说：俄罗斯、中国和朝鲜是美国网络安全的最大威胁。但从近年的发展趋势看，伊朗也终将成为美国另一个不容小觑的网络对手。
虽然同为黑客国家，但伊朗还是与其它国家存在不同的，它往往比其他国家更依赖于分散的代理集团进行海外攻击。在政府看来，这种形式更有利于在攻击发生后进行推诿责任。但这也引发了人们对伊朗政府“到底能控制这些黑客组织几分”产生了质疑。
但也正是由于这一政策，黑客在伊朗生活的还算自由。他们可以相对自由地攻击外国目标，他们有很好的工作，可以生活在自由的阳光下，相对于那些躲在地下室工作的黑客，他们在伊朗无需隐藏。
01
身份无需隐藏
不像在美国、欧洲以及俄罗斯的同行，伊朗的“黑帽黑客”不需要躲避和隐瞒政府当局和执法机构。这是因为只要黑客是为政府工作就是合法的。
出于这个原因，伊朗的顶级黑客人员才能够过上非常自由、公开的生活，很少会有人刻意去掩盖他们的活动。他们甚至会在西方、俄罗斯和伊朗的主流社交网站上定期公开地分享个人信息、地点、雇主和教育背景、家庭和朋友等信息。
有趣的是，伊朗的黑客们并不是Twitter的狂热粉丝。他们更喜欢用一些其他的网站，其中两个是Facebook和vBulletin论坛。
02
拥有良好的教育背景
一般来说，伊朗的黑客都受过良好的教育，拥有计算机科学、数学或物理方面的硕士或博士学位。但是，美国或欧洲的黑客们就没有这么幸运了。
伊朗的黑客也经常在西方的大学接收教育。例如看购网，一位网名为“sc0rpion”（真实姓名：Yashar shahinzadeh）的前黑客目前正在英国大学中谋求信息安全硕士学位。
许多伊朗教授都来自西方教育机构，如麻省理工学院，卡耐基·梅隆大学、弗吉尼亚理工大学和东北大学等。这可能是为什么很多有抱负的黑客会选择进入这些大学发展他们的教育和技能的原因之一。
03
伊朗的黑客常青藤联盟
伊朗有很多自己本土的著名大学，但是北京吉利大学招生网，如果你是一个技能娴熟的黑客，就很有可能会选择四所名校之一。这四所大学包括：谢里夫科技大学、伊斯兰阿扎德大学、伊斯法罕大学和亚兹德大学。他们形成一种类似常春藤高校的伊朗黑客联盟。他们都是在科学、工程和技术方面一流的学府，会提供比传统大学更先进的知识。
例如，他们会提供一些可疑的全学期的“网络安全”的课程，教授高级的黑帽黑客技术。如：反蜜罐技术、如何“pwn”现代Web应用程序、NoSQL数据库攻击、内核攻击、攻击机密密码以及匿名的rootkit和方法设计。
他们还聘请了许多著名的黑帽黑客作为全职教授吞噬成尊 ，或作为特殊培训计划的辅助教师。近年的一个培训项目教授是Yaser Balaghi和著名黑客“Masoud_pk”，他们负责教授学生如何使用恶意软件“wool3nh4t”，以及C #，ASP和.NET等相关课程。
Balaghi教授在伊朗是一个非常有趣的人，各种安全行业的报告都把他归属于“Rocket Kitten”黑客组织，该组织在2015年主要以以色列和欧洲组织为攻击目标，Balaghi教授的培训课程内容包括针对沙特阿拉伯区域的网络攻击。
此外，伊朗的顶尖大学还负责一些关于核设施和其他工业控制系统的网络攻击的研究和培训项目（如SCADA）。事实上，伊朗原子能组织在2013年举行了自己的核设施黑客大赛独舞的军阀。报告显示伊朗的黑客能够发现该国核设施和SCADA系统中存在的重大安全问题。
04
积极参与黑客团体
如果你是伊朗的黑客揭阳学宫，想要参与到一些主要的黑客团体中。这些团体包括Ashiyane、Arad Group、FullSecurity（又名Milad Hacking）等等。不过需要记住，伊朗黑客团体经常突然推出一项新的运动，然后解散或重新出现在一个新的名字下绝品全才。因此很多情况下，相同的黑客可能会参与多个黑客组织。
Ashiyane是一个较大的、更完善的组织海城绝恋，核心成员约40人。其他组织可能小到只有六七个成员。下面是一些伊朗最近的黑客团体：
Mihanhack安全团队；
伊朗安全组织；
Milad_inj3ct0r白帽安全；
Deface Sec 团队；
Iahesh安全团队；
4TT4CK3R Of IBH & Ashiyane；
Offsec；
Iranonymous；
伊朗灰帽组织；
波斯黑客组织；
Danger安全小组；
Jok3r；
Guardiran团队；
Mihan网络安全组；
Blackwolf_iran；
Iranhack安全；
波斯逆向工程小组；
皇帝团队（Mr. PReDaToR）；
Iranian_dark_coders_team；
Kheshtak安全；
小组必须要被邀请才能加入零点书院。因此，有抱负的黑客会试图在论坛（如zone-h.org以及iedb.i）上发帖来展示自己的技能。伊朗黑客组织也会密切关注大学附属的在线培训项目，并将脱颖而出的人收入囊中。
05
黑客是成功的商人
如果一个值得信赖的杀毒软件公司也参与了网络犯罪活动，大多数美国人可能会对此感到奇怪，但这种情况在伊朗却是司空见惯的塘虱鱼。
一些顶级的伊朗网络安全公司都是由黑客掌控、运营的。这些企业包括：Ashiyane（Apadana防火墙开发商）、amnpardaz（padvish杀毒和反加密软件开发商）、fullsecurity团队（网站安全服务商）以及OffSec（恶意软件逆向工程和二进制分析）。
虽然这些公司为伊朗的企业和公民提供合法的安全服务，但是他们背后的所有者也对外国主权国家和企业进行了刑事黑客攻击活动。
06
黑客犯罪手法
伊朗的黑客有很多的技能，周梦晗但他们更喜欢攻击低级的对手。与其他国家支持的黑客不同，伊朗的团队已经越来越不区分他们的目标是谁。他们经常使用一些类型的自动化工具（例如，漏洞扫描器，Google dorking和SQL注入）来搜索网页，寻找任何不能够防护自身安全的公司或组织下手甘露岩寺 。一旦他们找到了一个脆弱的网站，他们就会对其进行攻击，然后继续前进。
这些策略可能会改变，因为伊朗的黑客产业正在迅速发展，但就目前而言，企业可以通过消除常见的网络漏洞来防止此类攻击行为。
07
解除制裁之后的伊朗黑客
西方制裁的解除可能会让伊朗的黑客们生活的更滋润。随着西方资金的大量涌入，更多的资本和金融资源可用，新的市场供应，伊朗的技术部门也迎来了大发展。该国的大学也可以从中获益，得到更广泛的思想交流、研究和更高新的技术发展机遇。
而这一切又会对伊朗黑客带来哪些影响呢？由于伊朗黑客拥有合法的业务，拥有伊朗政府投资，因此很可能扩大其职业化的规模，进行更为复杂和严重的攻击。
伊朗网络攻击一直在行动
伊朗的网络宣传活动也更倾向于将阿拉伯、约旦、阿拉伯联合酋长国、以色列和英国等国家列为对手和目标。他们针对美国的行动周文羽，也很可能扩展到中国和俄罗斯，必将发展成长期网络间谍。
01
大名鼎鼎的Stuxnet蠕虫病毒
Trah Andishan，一个伊朗的黑客组织，由20个才华横溢的资深黑客组成。2010年，据伊朗媒体报道，该组织的相关人员研发出了Stuxnet蠕虫病毒，不过却被美国和以色列相关情报人员用来对伊朗实施攻击。
Stuxnet蠕虫病毒（ 超级工厂病毒）是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击久久时间网。特别是针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击，曾造成伊朗核电站推迟发电。该组织的“行动”范围广泛，涉及世界各地。在许多人看来，该组织的最终目的是想要控制全世界基于Web的网络系统。
Trah Andishan攻击的对象包括许多安全系统和航空公司的网络系统。其中，最臭名昭著的一次攻击，要算是Operation Cleaver（手术刀行动）了。这次攻击行动针对军事、能源、石油和天然气、航空公司等部门，以及机场、交通和医院等社会基础设施。可谓是无所不用其极，造成了极其恶劣的影响。
02
攻破美国金融系统
入侵了纽约水坝控制系统
2017年3月24日，据《华盛顿邮报》报道，美国司法部披露7名伊朗人被指控为黑客，罪名为攻击美国金融系统和纽约州一处大坝的服务器。美国司法部长洛丽塔·林奇（ Loretta Lynch）称，这些人受雇于为伊朗政府服务的电脑安全公司。

“2011年至2013年米赚电脑版，美国金融系统遭受大规模网络攻击。”林奇说，“这次攻击造成的结果是在线服务中断，数百万美国人无法在网上进入他们的银行账户。这些攻击行动非常密集、系统性的、普遍的，这对美国经济造成威胁，也削弱了我们在世界市场公平竞争的能力。”
陪审团的起诉书显示，7个被起诉的伊朗人在2011年至2013年间对美国境内的46个目标发动过网络攻击，袭击目标多为金融机构，其中包括摩根大通和美利坚银行等大型金融机构。多家银行的网站因此瘫痪，维修服务器的花费达数千万美元。此外，2013年8月至9月间，费鲁兹还非法入侵了纽约州莱伊市鲍曼水坝的控制系统。
指控称，7位伊朗黑客所效力的两家私人电脑安全公司曾为包括伊斯兰革命卫队（Islamic Revolutionary Guard Corps）在内的伊朗政府工作，伊斯兰革命卫队是伊朗的精英军队组织。而其中一名黑客在完成了与攻击有关的必须军事服务后获得了奖赏，而另一名黑客则培训了伊朗情报官员。
03
针对各国政府、防御与学术等机构
进行大规模网络间谍行动
除此之外，伊朗黑客还针对各国政府、防御与学术等机构进行大规模网络间谍行动。今年7月，趋势科技和伊朗的ClearSky公司发现主要针对各国政府、防御和学术机构的大规模网络间谍行动，该间谍机构被研究人员称为CopyKittens，与伊朗有关开心街。
据悉，CopyKittens的行动至少从2013年就开始了，以包括外交官和研究人员在内的组织和个人为主，针对的国家地区包括沙特阿拉伯、土耳其、美国、约旦和德国；针对的政府机构如外交部、大型IT企业、国防部的合约商、地方政府等。
-END-