一场针对阿尔巴尼亚政府的网络攻击使国家网站和公共服务中断了数小时。随着俄罗斯在乌克兰的战争肆虐,克里姆林宫似乎是最可能的嫌疑人。但威胁情报公司Mandiant周四发表的研究报告将这次攻击归咎于伊朗。虽然德黑兰的间谍活动和数字干预已经在世界各地出现,但曼迪安特的研究人员说,来自伊朗对一个北约成员国的破坏性攻击是一个值得注意的行动升级。
阿尔巴尼亚地拉那
7月17日针对阿尔巴尼亚的数字攻击发生在”自由伊朗世界峰会”之前,该会议定于7月23日和24日在阿尔巴尼亚西部的马涅兹镇召开。该峰会隶属于伊朗反对派组织(通常缩写为MEK、PMOI或MKO)。但会议在预定开始的前一天被推迟,因为据说有未指明的”恐怖主义”威胁。
Mandiant研究人员说,攻击者部署了Roadsweep系列的勒索软件,可能还利用了一个以前未知的后门,被称为Chimneysweep,以及Zeroclear擦除工具的一个新变种。Mandiant发现,过去使用类似的恶意软件,攻击的时间,Roadsweep勒索软件说明中的其他线索,以及在Telegram上声称对攻击负责的行为人的活动都指向伊朗。
Mandiant的情报副总裁John Hultquist说:”这是一个积极的升级步骤,我们必须承认。伊朗的间谍活动在世界各地一直在发生。这里的区别是这不是间谍活动。这些是破坏性的攻击,影响到生活在北约联盟内的阿尔巴尼亚人的日常生活。而且,这基本上是一种胁迫性的攻击,以迫使政府出手。”
伊朗在中东,特别是在以色列进行了广泛的黑客活动,其国家支持的黑客已经渗透和探测了制造、供应和关键基础设施组织。2021年11月,美国和澳大利亚政府警告说,伊朗黑客正在积极努力获取与运输、医疗保健和公共卫生实体等相关的一系列网络。国土安全部网络安全和基础设施安全局当时写道:”这些伊朗政府资助的APT行为者可以利用这种访问进行后续行动,如数据渗出或加密、勒索软件和敲诈。”
不过,德黑兰已经限制了其攻击的范围,在全球范围内主要保持数据渗透和侦察。然而,该国也参与了影响行动、虚假信息活动和干预外国选举的努力,包括针对美国。
Hultquist说:”我们已经习惯于看到伊朗在中东地区咄咄逼人,这种活动从未停止过,但在中东以外的地区,他们一直都很克制。我担心他们可能更愿意在该地区之外利用其能力。而且他们显然对针对北约国家毫无顾忌。”
由于伊朗声称它现在有能力生产核弹头,而且该国代表与美国官员在维也纳就可能恢复两国之间的2015年核协议进行了会晤,任何关于伊朗在与北约打交道时可能的意图和风险容忍度的信号都是重要的。
阅读研究报告以了解更多:
https://www.mandiant.com/resources/likely-iranian-threat-actor-conducts-politically-motivated-disruptive-activity-against?1