据《The Record》报道,美国网络司令部周三透露,一个以网络间谍活动闻名的黑客组织实际上是伊朗情报机构的一部分。美国网络司令部下属的国家网络任务部队宣布,这个被称为“MuddyWater”的组织是伊朗情报和安全部的一个下属单位。
这一说法标志着美国政府首次公开将这一多产的威胁行为者--其目标从学术界和旅游业到政府和电信运营商--与伊朗情报机构联系起来。
“美国网络司令部已经介入。”SentinelOne公司的首席威胁研究员J.A. Guerrero-Saade在Twitter上提到伊朗的伊斯兰革命卫队时说:“MuddyWater归属于伊朗的MOIS(而不是一些人认为的IRGC)。”
美国网络司令部与美国联邦调查局合作,还将全球各地雇用伊朗情报人员的多个开源恶意软件工具上传到流行的恶意软件库VirusTotal。
“如果你看到这些工具的组合,伊朗MOIS行为者MuddyWater可能在你的网络中,”美国网络司令部在这十个条目的顶部警告说。
“我们坚持不懈地发布恶意软件,以使我们整个国家的防御。公开披露恶意的网络活动或行为者,使美国的利益和我们的合作伙伴得到保护。#CyberIsATeamSport,”美国网络司令部的官方Twitter账户发推文说。
在一份声明中,美国网络司令部的发言人拒绝透露该组织是如何发现这些恶意工具的,或者这些样本是否是由第三方提供的。
“我们不讨论CNMF团队发布的恶意软件样本的来源。这些恶意软件样本中的一些是已经在公共领域的其他恶意软件的变种--这次披露的独特之处在于,它提供了伊朗恶意网络行为者可能通过使用恶意软件收集信息的整体情况。”
据悉,MuddyWater,有时被称为SeedWorm,至少从2015年开始就进行了间谍活动。
上个月,赛门铁克的威胁猎手团队发布研究报告,发现该组织在过去6个月中针对整个中东和亚洲的电信运营商和IT服务组织。
研究人员的结论是,所涉及的目标和战术--攻击者依靠公开的恶意软件和远程管理及安全评估工具来窃取凭证,在整个网络中移动--“与伊朗赞助的行为者一致”,但没有将该活动归于伊朗政府。
在美国网络司令部强调的恶意软件样本中,有一些PowGoop的变种,这是一种虚假的Google更新机制。其中包括一个赋予攻击者指挥和控制功能的变体,以及另外两个作为信标的变体,从被攻击的网络中联系恶意的基础设施。其他样本包括恶意的JavaScript文件和一个版本的Mori后门。