【导读】网络威胁面前,我们要抓“大”,也不能忽视“小”。近日,一则伊朗“新手”黑客组织仅以“低技能”手段就成功“走红”的新闻,引起安全界的广泛关注。外媒呼吁要对该组织持续性关注并保持高度警惕。“低技能”攻击背后,究竟是博眼球的哗众取宠,还是另有玄机?在进一步探究分析后,我们又发现了更深一层的信息……

Dharma(也称Crysis):通过远程桌面协议服务(RDP)入侵计算机手动安装的一种勒索病毒。通常在TCP端口3389上运行RDP的计算机,然后尝试强制使用该计算机密码。一旦获得对计算机的访问权限,便可通过安装勒索软件并让其对计算机进行加密。自2016年起,以“软件即服务”(RaaS)模式进行分发,2020年3月其源代码上市销售,自此受到广泛关注。

 

伊朗“低技能”黑客组织初试水 瞄准众大国展开部署

近日,据网络安全公司Group-IB爆料称,发现一来自伊朗的境外“低技能”黑客组织,试图利用Dharma勒索软件对中国、俄罗斯、日本和印度等国家发动攻击。

虽然截止目前,该攻击所造成的影响,仍待进一步调查中。不过,值得注意的是,这一次瞄准众大国开展“高调”部署的“幕后黑手”却被称为是一群“低技能”黑客。

之所以这样讲,根据披露的消息,我们总结如下:

一、就“江湖地位”而言,该伊朗黑客组织“知名度”微乎其微

众所周知,伊朗作为最具破坏力的民族国家,其网络战力量也在快速崛起。大大小小的黑客组织如雨后春笋,在网空沃土上破茧而生。 而据披露消息称,该组织尚未有能力开发自己的黑客工具,或者他们还未拥有资金资源来购买对私有或更高级黑客工具的访问权限。

显然,该组织很难与臭名昭著的高级持续性威胁(APT)组织相媲美。

二、从“攻击招式”来看,其复杂程度较低

据安全公司披露,此次伊朗黑客组织所使用的Dharma勒索软件,而该勒索软件则是公认的“低技能”攻击者的标志。 这一结论的原因也很直观,早在今年3月,这个名为Dharma的勒索软件源代码就已在网上被正式出售。换句话说,任意新手黑客都可在网上免费获取到该勒索软件,且无需支付任何开发成本。 综上可见,这一次伊朗组织的攻击行为似乎有那么点“随性而为”,并略显“低能”。

但这看似毫无用处的攻击,就真的“徒劳无功”吗?

 

黑客攻击“低开低走”的背后 看似“荒谬”实则暗藏玄机?!

显然不是。虽然目前,无法断定此次“低技能”攻击是否造成实质性损失,但仅凭以中国、俄罗斯、日本和印度等多国公司为攻击目标这一点,就令此次事件极不寻常。
在进一步探究中,我们也捕获到一些蛛丝马迹:

一、利用“低阶”手段牟取高维渗透

不能否认,目前我们对于网络攻击的认知主要在高阶博弈之上。“神仙打架”的硬核操作固然在“涉猎范围”之内,但低阶的网络攻击同样不能被完全忽视。 之所以这样说,依然是有迹可循。据统计,2020年上半年勒索软件攻击创下历史新高,这其中RDP作为最受欢迎的入侵“媒介”和最大勒索事件源头“荣登榜首”。而RDP也正是此次事件中Dharma勒索的入侵的主要手段。

正所谓,漏洞无处不在,攻击无孔不入。伴随着攻击门槛的不断走低,“新手”组织能够轻易下载黑客工具,并遵循黑客论坛上共享的教程,在短短几天内就能策划出一系列网络入侵与勒索攻击。

而往往越明显的攻击点越容易被忽视,反倒成为渗透众多大国公司的绝佳手段。

二、表面“哗众取宠”,实则打响“业界知名度”

正如前文所提,一直以危险而强硬著称的伊朗黑客圈可谓是“人才济济”,不乏Operation Cleaver、Mabna、AST、APT34、APT33等业界知名黑客组织。而作为黑客“后浪”想要在其中“出圈”绝非易事。 反观,此次攻击事件表面呈“雷声大雨点小”之势,但却收获多家知名网络安全圈媒体加以曝光。

加持下,相信该组织的“一炮而红”也指日可待。 所以说,如此另辟蹊径之手段,极有可能是表面上的“哗众取宠”,实则在为打响黑客圈的“业界知名度”而暗自准备着。

智库时评

如开篇所言,看似“低开低走”的伊朗“新手”黑客攻击背后,却蕴藏着不容忽视的网安问题。尤其与国家、企业相关联时,一切将变成“未知”。 如果小型“降维”手段被抛入脑后,那么它们极有可能成为渗透国家、企业网络疆域的关键切口。

因此,网络安全面前,我们容不得一丝一毫的马虎与懈怠。不管是网络空间大国博弈“御用手段”——高级持续性威胁(APT)攻击,还是勒索攻击、后门植入、代码攻击等网络攻击力量都不能小觑。

参考链接:zdnet-《一群不熟练的伊朗骇客,最近利用Dharma勒索软件进行攻击》

文章原文链接:https://www.anquanke.com/post/id/216180