伊朗黑客入侵了联邦工作人员申诉的机构
2017 年,成堆的案例文件存储在华盛顿特区的绩效系统保护委员会办公室。
CISA(网络安全和基础设施安全局)指出了两个潜在的新的关键基础设施领域,以及世界杯潜在的网络攻击。
据知情人士透露,今年早些时候,伊朗政府下属的黑客侵入了美国绩效系统保护委员会的系统。
由于事情的敏感性,这些人和其他被采访的人一样,要求匿名。
CISA周三发布警报,详细说明黑客如何侵入一个未透露名称的联邦政府网络。
CISA和联邦调查局认定,攻击者是伊朗政府支持的,安装了加密货币挖掘软件,以及在该机构的系统中挖洞的工具。
尚不清楚黑客在该机构网络内部可能获得了哪些信息。
根据CISA的警报,伊朗黑客早在2月就侵入了该机构,这是基于CISA在6月中旬至7月中旬进行的事件响应。
该委员会是一个准司法机构,裁决联邦政府雇员在举报人报复等领域的不满,没有回应置评请求。
据知情人士透露,对此事负责的黑客组织名为“复仇女神小猫”。
安全研究人员表示,涅墨西斯·基登代表伊朗政府进行破坏性、破坏性和窥探性的行动。
但是他们也进行勒索软件和其他攻击来获取经济利益。
谷歌Mandiant安全部门负责情报的副总裁约翰·胡尔特奎斯特表示:“伊朗和他们的同行依赖承包商来实施网络间谍活动和攻击。
“这些承包商中有许多人兼职做罪犯,很难将这种活动与政府授意的工作区分开来。我们怀疑,至少在某些情况下,国家忽视了犯罪。我们相信这个小组兼职,尽管我们无法证实密码开采事件。”
LookingGlass Cyber 的首席执行官布莱恩·威尔表示,黑客在联邦机构中部署加密挖掘软件很奇怪,因为这种操作通常通过追踪具有强大计算能力的目标而受益最大。奇怪的是,加密矿工在场。
伊朗有可能用它来混淆其他活动,如间谍活动或误导事件响应小组——本质上是间谍伪装成罪犯。
财政部在9月份对五名被起诉的伊朗男子实施了制裁,原因是他们大肆勒索,财政部无法确定这是涅墨西斯·基登干的。
但该部门表示,“他们的一些恶意网络活动可以部分归咎于”该组织和其他与伊朗有关的组织。
据CISA称,黑客利用了未打补丁的VMware Horizon服务器中的Log4Shell漏洞。Log4Shell是流行的开源日志库log4j中的一个漏洞。
CISA去年年底警告称,该漏洞有可能影响数亿台设备。
CISA在12月做出回应,命令联邦机构在其系统中搜索log4j,并修补易受攻击的设备。
这些机构必须在12月28日之前完成两部分的漏洞缓解。尽管CISA拒绝对我们关于伊朗黑客攻击了美国绩效系统保护委员会(MSPB)的报道发表评论,但一名CISA高级官员表示,该警报表明了Log4Shell的持续威胁,以及采取行动予以应对的必要性。
今天的建议强调了继续关注缓解Log4Shell等已知被利用漏洞的重要性,以及所有组织实施有效检测的必要性,以在破坏性影响发生之前主动识别恶意活动,”CISA网络安全执行助理主任Eric Goldstein在一份电子邮件声明中说。
虽然政府和私营部门的组织采取紧急行动来减少运行Log4j漏洞版本的资产,但我们知道恶意网络行为者很快就开始利用漏洞资产并继续这样做。
涅墨西斯小猫过去曾被联系到使用Log4Shell漏洞。
管理和预算办公室对联邦机构信息安全的最新年度评估将MSPB评为“有风险”,介于“高风险”和“管理风险”之间。
一位美国官员说,log4j的广泛存在使得任何组织都很难明确修补Log4Shell漏洞。“这个星球上没有一个大型实体完成了对log4j的修补,因为它是如此普遍;这只是一个规模问题—找到log4j的每一个实例。我们说过这将会有一个长尾巴,我认为我们只是看到对手继续使用它—寻找一个有log4j的系统。”
在今年夏天的一份报告中,CISA网络安全审查委员会警告说,“Log4j的脆弱实例将在未来许多年内留在系统中,可能是十年或更长时间。”
这是网络安全专家的普遍观点。
供应链网络安全公司Chainguard的首席执行官丹·洛伦茨通过电子邮件表示:“我们距离Log4Shell的发现已经过去了将近一年,看到今天CISA和联邦调查局的报告,我并不感到惊讶;Log4Shell是独特的,它将永远存在。它将保留在每个攻击者的工具箱中,并在可预见的未来继续用于获取访问权限或横向移动。”
CISA说,官员们应该考虑将太空和生物经济指定为关键基础设施。
该机构在一份报告中表示,“有机会将太空部门和生物经济部门指定为关键的基础设施部门,这些部门将获得更多的网络安全资源和法规。
拜登总统在一封信中表示,他接受该报告的建议,白宫官员将与CISA合作执行其任务。
多个部门提供了与共同职能相关的更大范围的支离破碎或局部视图,因此,考虑合并或整合这些部门可能是有利的,”CISA写道。报告称,它之所以要求紧急服务部门,是因为它“包含了主要由政府实体提供或监管的服务”。
该报告是根据2021年1月成为法律的年度国防法案要求提交的。
尽管没有迫在眉睫的威胁,世界杯可能会看到网络间谍和黑客活动。
周日,世界杯在卡塔尔多哈拉开帷幕。
网络安全公司Recorded Future在一份报告中表示,伊朗和朝鲜等国家不太可能针对下周开始的卡塔尔2022年国际足联世界杯进行破坏性网络攻击。
该公司表示,它“没有发现任何针对锦标赛、其赞助商或基础设施的迫在眉睫、计划中或正在进行的国家支持的网络行动”。
卡塔尔在充满争议的全球舞台上相对独特的地缘政治地位意味着,来自俄罗斯、伊朗和朝鲜的国家支持的APT组织不太可能对2022年国际足联世界杯进行破坏性攻击,尽管俄罗斯这样做的动机最大。
相反,民族主义的俄罗斯黑客组织或勒索软件运营商可能会对比赛进行破坏性攻击。
