首页 > 安全资讯 > 正文

助赢吉林快3在线_伊朗APT组织的失误之举:欲盖弥彰的自建VPN

大家好,我是零日情报局。

    这几天,有安全公司一次性披露了助赢吉林快3在线_伊朗APT组织自建的21个专用VPN网络。助赢吉林快3在线自建VPN不稀奇,稀奇的是一次追踪到21个,甚至通过VPN网络,该组织的监听动向、基础架构、攻击目标也都逐一浮出水面。

任谁也很难想到,这家黑客组织就是曾让沙特阿拉伯国家石油公司瘫痪数周的APT33。

始于21个专用IP地址被捕捉

    自建VPN却意外暴露行踪,其实是APT33聪明反被聪明误。

所谓VPN,就是利用公用网络架设的专用网络。达到联网目的同时,又能加密VPN服务器和客户机之间的通讯数据助赢吉林快3在线多数黑客都喜欢用这种方式,隐藏真实IP地址和位置,以此躲避反追踪。

APT33建立自己的专用VPN网络,也是出去隐藏的目的。助赢吉林快3在线毕竟从数据中心租用服务器,再使用OpenVPN之类的开源软件搭建专用VPN,并不复杂。想不到的是,原本用于隐藏的VPN网络,成了APT33暴露的关键。

    相比于海量的商用VPN,自建VPN的数量相对少且明显。安全研究员们只需留意那些特别的IP地址,就可以更快速地从中找到黑客组织,APT33就是这样泄露了行踪。

助赢吉林快3在线反倒是,那些APT33不相信的商业VPN网络,也许才能隐藏他们的行踪。助赢吉林快3在线因为在海量的商用VPN网络中,安全研究员想找到APT33,和大海捞针没什么区别。

估计APT33也想不到,自己精心的隐藏策略却直接暴露了行踪。目前追踪到的APT33关联IP地址,已全部公布出来,具体如下:

继而APT33的四层架构被起底

有了IP地址,能做的事情就多了。安全研究员们终于摸清了伊朗最复杂黑客组织APT33的基础架构。这才发现,用以隐藏真实IP地址和位置的VPN网络,其实只是APT33与攻击目标建立关联的第一层关系。


   安全研究员通过手绘的方式,分享了APT33与目标之间的四层架构。

    1.VPN:隐藏APT33真实IP地址的VPN定制网络;

    2.Bot Controller layer:服务器中间隔离层;

    3.C&C Backend layer:管理恶意软件僵尸网络的实际后端服务器;

    4.Proxy layer:隐藏受感染主机的云服务器,C&C服务器。

助赢吉林快3在线   显而易见,多达四层的架构,其实是APT33精心打造的分层、隔离体系,只是没想到第一层VPN网络就让他们暴露了。

攻击路径目标再难隐藏 

    除此之外,安全研究员在追踪VPN网络时,发现助赢吉林快3在线APT33攻击路径直指美国、中东地区。不仅从已披露专用VPN中,找到了定向瞄准石油行业供应链,专门监视中东石油勘探公司、军事医院,以及美国石油公司的网络,还发现了APT33攻击路径与核心目标。

    2019年7月,APT33将Outlook漏洞武器化,通过鱼叉式网络钓鱼攻击的方式,把恶意软件植入到美国政府网站,并试图从Outlook沙箱中逃脱,以及在网站底层操作系统上运行恶意代码,致使美国网络司令部全网发布安全警报。

    2018年12月,APT33使用新版Shamoon恶意软件,定向破坏意大利石油天然气承包商Saipem公司网络,销毁该公司10%的文件,致使中东、印度、意大利、苏格兰石油交易系统遭受不同程度破坏。而意大利被牵扯进来,关键就在于该公司是沙特阿美石油公司的主要外国承包商。

助赢吉林快3在线    2012年8月,APT33利用Shamoon(DistTrack)磁盘擦除恶意软件,恶意摧毁沙特阿美石油公司(Saudi Aramco)35,000多台计算机数据,用燃烧的美国国旗图像替换全部数据,致使公司停摆数周,严重影响全球石油交易。

    从攻击路径与目标来看,APT33这家伊朗黑客组织,不仅紧盯死敌沙特阿拉伯,更一直试图通过定向打击石油系统、政府网络,进而报复性打击沙特阿拉伯与美国。

零日反思

    一直以来,APT威胁作为地缘政治、情报活动意图下的网络间谍活动,长久且持续地威胁着政府、军队、外交、国防,乃至科研、能源以及国家基础设施性质等诸多领域的安全。但想要在数以千万计的恶意软件中,保护组织团体免于APT攻击,远比想象的艰难。

    此次VPN网络曝光APT33行踪的事件,也许可以给我们带来一些新的启发,以便于今后追踪防范APT攻击。

零日情报局作品
微信公众号:lingriqingbaoju
如需转载,请后台留言
欢迎分享朋友圈


参考资料:
ZDNET《伊朗黑客组织建立了自己的VPN网络》


360安全卫士

热点排行

用户
反馈
返回
顶部