伊朗黑客入侵了聯邦工作人員申訴的機構
2017 年,成堆的案例文件存儲在華盛頓特區的績效系統保護委員會辦公室。
CISA(網絡安全和基礎設施安全局)指出了兩個潛在的新的關鍵基礎設施領域,以及世界杯潛在的網絡攻擊。
據知情人士透露,今年早些時候,伊朗政府下屬的黑客侵入了美國績效系統保護委員會的系統。
由于事情的敏感性,這些人和其他被采訪的人一樣,要求匿名。
CISA周三發布警報,詳細說明黑客如何侵入一個未透露名稱的聯邦政府網絡。
CISA和聯邦調查局認定,攻擊者是伊朗政府支持的,安裝了加密貨幣挖掘軟件,以及在該機構的系統中挖洞的工具。
尚不清楚黑客在該機構網絡內部可能獲得了哪些信息。
根據CISA的警報,伊朗黑客早在2月就侵入了該機構,這是基于CISA在6月中旬至7月中旬進行的事件響應。
該委員會是一個準司法機構,裁決聯邦政府雇員在舉報人報復等領域的不滿,沒有回應置評請求。
據知情人士透露,對此事負責的黑客組織名為“復仇女神小貓”。
安全研究人員表示,涅墨西斯·基登代表伊朗政府進行破壞性、破壞性和窺探性的行動。
但是他們也進行勒索軟件和其他攻擊來獲取經濟利益。
谷歌Mandiant安全部門負責情報的副總裁約翰·胡爾特奎斯特表示:“伊朗和他們的同行依賴承包商來實施網絡間諜活動和攻擊。
“這些承包商中有許多人兼職做罪犯,很難將這種活動與政府授意的工作區分開來。我們懷疑,至少在某些情況下,國家忽視了犯罪。我們相信這個小組兼職,盡管我們無法證實密碼開采事件。”
LookingGlass Cyber 的首席執行官布萊恩·威爾表示,黑客在聯邦機構中部署加密挖掘軟件很奇怪,因為這種操作通常通過追蹤具有強大計算能力的目標而受益最大。奇怪的是,加密礦工在場。
伊朗有可能用它來混淆其他活動,如間諜活動或誤導事件響應小組——本質上是間諜偽裝成罪犯。
財政部在9月份對五名被起訴的伊朗男子實施了制裁,原因是他們大肆勒索,財政部無法確定這是涅墨西斯·基登干的。
但該部門表示,“他們的一些惡意網絡活動可以部分歸咎于”該組織和其他與伊朗有關的組織。
據CISA稱,黑客利用了未打補丁的VMware Horizon服務器中的Log4Shell漏洞。Log4Shell是流行的開源日志庫log4j中的一個漏洞。
CISA去年年底警告稱,該漏洞有可能影響數億臺設備。
CISA在12月做出回應,命令聯邦機構在其系統中搜索log4j,并修補易受攻擊的設備。
這些機構必須在12月28日之前完成兩部分的漏洞緩解。盡管CISA拒絕對我們關于伊朗黑客攻擊了美國績效系統保護委員會(MSPB)的報道發表評論,但一名CISA高級官員表示,該警報表明了Log4Shell的持續威脅,以及采取行動予以應對的必要性。
今天的建議強調了繼續關注緩解Log4Shell等已知被利用漏洞的重要性,以及所有組織實施有效檢測的必要性,以在破壞性影響發生之前主動識別惡意活動,”CISA網絡安全執行助理主任Eric Goldstein在一份電子郵件聲明中說。
雖然政府和私營部門的組織采取緊急行動來減少運行Log4j漏洞版本的資產,但我們知道惡意網絡行為者很快就開始利用漏洞資產并繼續這樣做。
涅墨西斯小貓過去曾被聯系到使用Log4Shell漏洞。
管理和預算辦公室對聯邦機構信息安全的最新年度評估將MSPB評為“有風險”,介于“高風險”和“管理風險”之間。
一位美國官員說,log4j的廣泛存在使得任何組織都很難明確修補Log4Shell漏洞。“這個星球上沒有一個大型實體完成了對log4j的修補,因為它是如此普遍;這只是一個規模問題—找到log4j的每一個實例。我們說過這將會有一個長尾巴,我認為我們只是看到對手繼續使用它—尋找一個有log4j的系統。”
在今年夏天的一份報告中,CISA網絡安全審查委員會警告說,“Log4j的脆弱實例將在未來許多年內留在系統中,可能是十年或更長時間。”
這是網絡安全專家的普遍觀點。
供應鏈網絡安全公司Chainguard的首席執行官丹·洛倫茨通過電子郵件表示:“我們距離Log4Shell的發現已經過去了將近一年,看到今天CISA和聯邦調查局的報告,我并不感到驚訝;Log4Shell是獨特的,它將永遠存在。它將保留在每個攻擊者的工具箱中,并在可預見的未來繼續用于獲取訪問權限或橫向移動。”
CISA說,官員們應該考慮將太空和生物經濟指定為關鍵基礎設施。
該機構在一份報告中表示,“有機會將太空部門和生物經濟部門指定為關鍵的基礎設施部門,這些部門將獲得更多的網絡安全資源和法規。
拜登總統在一封信中表示,他接受該報告的建議,白宮官員將與CISA合作執行其任務。
多個部門提供了與共同職能相關的更大范圍的支離破碎或局部視圖,因此,考慮合并或整合這些部門可能是有利的,”CISA寫道。報告稱,它之所以要求緊急服務部門,是因為它“包含了主要由政府實體提供或監管的服務”。
該報告是根據2021年1月成為法律的年度國防法案要求提交的。
盡管沒有迫在眉睫的威脅,世界杯可能會看到網絡間諜和黑客活動。
周日,世界杯在卡塔爾多哈拉開帷幕。
網絡安全公司Recorded Future在一份報告中表示,伊朗和朝鮮等國家不太可能針對下周開始的卡塔爾2022年國際足聯世界杯進行破壞性網絡攻擊。
該公司表示,它“沒有發現任何針對錦標賽、其贊助商或基礎設施的迫在眉睫、計劃中或正在進行的國家支持的網絡行動”。
卡塔爾在充滿爭議的全球舞臺上相對獨特的地緣政治地位意味著,來自俄羅斯、伊朗和朝鮮的國家支持的APT組織不太可能對2022年國際足聯世界杯進行破壞性攻擊,盡管俄羅斯這樣做的動機最大。
相反,民族主義的俄羅斯黑客組織或勒索軟件運營商可能會對比賽進行破壞性攻擊。
