剖析以色列一家私人发电站涉嫌遭受黑客攻击的事件
以色列和哈马斯之间持续的冲突也延伸到了数字领域。黑客的参与凸显了 21 世纪战争性质的演变,传统的军事行动得到了复杂的网络战术的补充,国家支持、黑客活动和独立行为者之间的界限变得模糊。
到目前为止,已经观察到数字领域的各种网络活动,包括DDoS 攻击、信息战和黑客行动主义活动。随着冲突的继续,我们预计未来可能出现擦除器或勒索软件恶意软件攻击。
10 月 8 日,Cyber Av3ngers 组织通过地下渠道宣布以色列 Dorad 私人发电站遭受重大黑客攻击。该组织分享了涉嫌黑客攻击的照片,其徽标上有巴勒斯坦国旗颜色和政治信息,推断此次黑客攻击是在支持。这一声明与另一项声明同时宣布,该声明涉及针对 Dorad 网站进行 DoS 攻击,以增加黑客攻击的可信度:攻击者还提供了 DDoS 成功的证据。我们分析了 Cyber Av3ngers 发布的数据,发现它源自另一个名为 Moses Staff 的黑客组织的较早泄密事件。
据称,Moses Staff 是一个伊朗黑客组织,于 2021 年 9 月首次在地下论坛上被发现。他们的主要活动是通过窃取和发布敏感数据来损害以色列公司。该组织还针对意大利、印度、德国、智利、土耳其、阿联酋和美国等其他国家的组织。值得一提的是,没有发现任何证据将 Cyber Av3ngers 组织与 Moses Staff 参与者联系起来。
Cyber Av3ngers简介
有一个名称相似的组织,称为“Cyber Avengers”,该威胁行为者至少自 2020 年以来一直活跃。几乎没有证据将 Cyber Avengers 与 Cyber Aveng3rs 或 Cyber Av3ngers 连接起来。然而,随着当前的地缘政治冲突,他们开始吸引公众对其活动的关注并表示对这一事业的支持。他们主要针对以色列组织,其中大部分是负责运营该国关键基础设施的组织。2020 年,网络复仇者声称对停电和铁路基础设施黑客攻击负责。同年晚些时候,相应电力公司的副总裁发表声明称,停电不是由网络攻击引起的,而是“技术故障”。
2023 年 9 月 15 日,在 Telegram Messenger 上创建了一个新频道,账号为@CyberAveng3rs。该频道首先发布的消息将其所有者与“网络复仇者”过去进行的活动联系起来,然后添加有关他们针对以色列关键基础设施(包括电力和供水系统)的想法的信息。
该频道的最新帖子是关于安全指南的,该指南是为基础设施安全而准备的,由以色列政府发布。网络复仇者组织将指导方针发送给了目标列表,以示嘲讽。该名单包含八家公司,其中第八家尚未更新。
Cyber Av3ngers 文件分析
原始链接无法再提供 2022 年的原始 Moses Staff 泄露文件。然而,这些文件仍然可以在其他地下渠道找到。
该档案由 Moses Staff 于 2022 年 6 月首次发布,其中包括以色列多家公司泄露的数据。与 Dorad 私人电站黑客攻击相关的文件(11 个文件)的时间戳为 2020 年 8 月,压缩时间戳指向 2022 年 6 月 14 日。存档中的数据除了 PNG 和 JPEG 照片之外,还采用 PDF 文档形式。在数据泄露的同时,攻击者还发布了一段视频。
比较 Cyber Av3ngers 发布的照片和 Moses Staff 档案中的原始照片,我们可以观察到以下内容:
- Cyber Av3ngers 拍摄了 Moses Staff 泄露的 PDF 文档和视频的照片。
- Cyber Av3ngers 在发布前裁剪了照片并添加了徽标图像。
Moses Staff6 月 2022 年泄露的图像与 Cyber Av3ngers 2023 年 10 月 8 日涉嫌泄露的图像之间的比较如下所示。
总体而言,泄露的数据似乎是 Moses Staff 进行黑客攻击的结果:这些文件似乎是通过使用属于目标组织的计算机上的恶意软件而泄露的,而这种行为是由该威胁行为者使用自定义的工具,例如 PyDCrypt、DCSrv 和 StrifeWater。PyDCrypt 是一个用 Python 编写并使用 PyInstaller 构建的程序,用于感染网络上的其他计算机并确保主要负载 DCSrv 正确执行。DCSrv 是一个伪装成合法“svchost.exe”进程的恶意进程。DCSrv 阻止对计算机的所有访问,并使用合法的开源加密实用程序 DiskCryptor 加密其所有卷。StrifeWater是一种隐秘的远程访问木马 (RAT),在攻击的初始阶段用于掩盖痕迹。此外,它还具有执行远程命令和捕获屏幕的能力。
由于 Moses Staff 组织并不试图获取经济利益,其主要目标是造成损害,因此通常无法支付赎金和解密数据。
结论
根据所提供的信息及其分析,Cyber Av3ngers 所指控的黑客攻击是从先前的安全漏洞中回收或重新利用的,而不是任何新的未经授权的数据访问的结果。尽管如此,诸如 MosesStaff 之类针对用户和组织(尤其是在关键基础设施环境中)的威胁行为者仍然很活跃。
彻底调查此类事件以了解受损数据的性质、数据的获取方式以及是否存在任何安全漏洞非常重要。此外,它还强调了维持强有力的网络安全措施的重要性,以防止 IT 和 OT 系统遭受新的和反复出现的威胁。
妥协指标
文件哈希值
48220a3a4c72317ae0fbb08e255b8350
4cba27111c5fca7a1ae78566de2df5b3
a7704fbccaeb78678a5f94714993567c
aa579d5f062f02d9ff76910560bb312c
f8c06e955718639ba9ffdd4265965593转载来源:https://securelist.com/a-hack-in-hand-is-worth-two-in-the-bush/110794/
图片来源网络侵权可联系删除
