伊朗勒索软件组织攻击美国企业,遭美政府溯源真实身份并制裁
安全内参9月15日消息,美国财政部海外资产控制办公室(OFAC)昨天宣布,对隶属于伊朗伊斯兰革命卫队(IRGC)的10名个人和两家实体实施制裁,理由是他们参与了勒索软件攻击。
美国财政部声称,过去两年以来,这些个人涉嫌参与多起勒索软件攻击,并入侵了美国和全球其他地区组织的网络。
这些恶意活动,还与多家网络厂商分别跟踪的国家资助黑客活动存在交集,具体包括APT35、Charming Kitten、Phosphorus、DEV-0270、Tunnel Vision和Nemesis Kitten。
美国财政部表示,“已经有多家网络安全公司发现,这些入侵活动确与伊朗政府有关。他们此前进行过多种恶意网络攻击,包括勒索软件和网络间谍活动。”
“该团伙针对全球各组织及官员发起广泛攻击,重点针对美国及中东地区的国防、外交和政府工作人员,同时也将矛头指向媒体、能源、商业服务和电信等私营行业。”
三名成员信息被悬赏3000万美元
作为伊朗伊斯兰革命卫队的附属组织,该团伙的成员主要是总部位于伊朗的Najee Technology Hooshmand Fater LLC(简称Najee Technology)和Afkar System Yazd公司(简称Afkar System)员工,其中包括:
Mansour Ahmadi:Najee Technology公司法人、董事总经理兼董事会主席
Ahmad Khatibi Aghda:Afkar System公司董事总经理兼董事会成员
其他雇员及同事:Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo'in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini及Mohammad Shakeri-Ashtijeh
美国财政部之前曾制裁与Net Peygard Samavat公司相关的人员,理由是他们曾于2019年同伊斯兰革命卫队和伊朗情报与安全部(MOIS)开展合作。
一年之后,美国财政部又制裁了Rana Intelligence Computing公司及部分员工,称这家打着经营旗号的企业其实在代表伊情报与安全部协调网络攻击活动。
在此次制裁公告中,美国国务院提供3000万美元,征集关于Mansour Ahmadi、Ahmad Khatibi Aghda和Hossein Nikaeen Ravari三名受制裁伊朗人的信息。三人也因涉嫌参与针对美国关键基础设施组织的勒索软件攻击,面临美国司法部的指控。
美国安全公司提供溯源证据链
昨天,美国、加拿大、英国和澳大利亚的网络安全机构还发布联合公告,描述了该威胁团伙的恶意活动并披露了技术细节。
安全公司Secureworks也紧跟发布一份报告,证实了美国财政部的信息。
Secureworks公司表示,由于抓住了对方在2022年6月勒索软件事件中犯下的操作失误,该公司成功将Nemesis Kitten(也称Cobalt Mirage)团伙同伊朗的Najee Technology、Afkar System两家公司,以及名为Secnerd的另一家实体联系了起来。
Secureworks公司反威胁部门(CTU)在今年5月的报告中,也曾提到涉及Nemesis Kitten的类似恶意攻击(与Phosphorus APT团伙存在交集)。
上周,微软表示,Nemesis Kitten(也称DEV-0270)团伙一直悄悄“作为伊朗支持的Phosphorus网络间谍团伙(又名Charming Kitten和APT35)的子部门,为个人或公司获取非法收入。”
微软将该团伙与多家伊朗企业联系了起来,其中包括Najee Technology、Secnerd和Lifeweb。
微软解释道,“该团伙的攻击目标有很大的随机性:他们会首先扫描互联网以查找易受攻击的服务器和设备,因此服务器和设备易受攻击且暴露在网上的组织更可能受到攻击影响。”