首页 > 原创 > 正文

伊朗网络攻击事件背后黑手——Indra

最后更新 :2022.03.04

大家还记得伊朗2021年7月9日和10日,伊朗铁路道路与城市发展系统部被黑客攻击的事情吗?

当时黑客在全国各地车站的信息板上显示火车延误或取消的信息,并敦促乘客拨打电话以获取更多信息,此电话号码属于该国领导人的办公室。

第二天,伊朗道路和城市化部的网站出现“网络中断”后停止服务。

几天后,伊朗网络安全公司 Amnpardaz Software 发布了技术分析,该恶意软件被称为 Trojan.Win32.BreakWin。

此次对伊朗的攻击在战术和技术上与叙利亚私营公司遭到的攻击类似,攻击活动至少从2019年已经开始看,可与自称为政权反对派组织Indra联系起来。攻击者在受害者网络中开发并部署了至少3种不同版本的工具(Meteor、Stardust、Comet)。从工具的质量、运作方式来看,Indra不太可能属于国家层面。

但是最近对伊朗被攻击的目标进行关联分析发现,攻击流程几乎完全相同,文件也有同样的结构、同样的名称和同样的功能。

根据收集到的信息来看,伊朗被攻击目标并不是攻击者第一次使用这些工具。在叙利亚这些工具被上传到了Virus Total三次,比这一次对伊朗的攻击早了一年多。

这些行动背后的组织的身份为“Indra”的组织。事实上,Indra并没有隐瞒他们的身份,而是在多个地方留下了他们的签名。攻击者在受害者锁定的计算机上显示自己的身份,并对袭击卡特吉集团负责。

所有样本都多次出现字符串“INDRA”。

他们在不同的平台上运营多个社交网络账户,包括Twitter、Facebook、Telegram和Youtube。这些账户披露了对上述公司的攻击:


2019年和2020年针对叙利亚的攻击和对伊朗网络的攻击有很多相同之处,比如工具、战术、技术等方面,因此可以认定为攻击叙利亚和伊朗的是同一个组织Indre。

在他们的推特账号上也明确的标志出,他们的目标是他们认为与伊朗有联系的实体。比如他们在2019年对卡特尔吉、阿尔法达、阿尔法德莱克斯和其他叙利亚公司的攻击,以及2021年对伊朗铁路公路部的攻击都如此。

他们的攻击依赖于早期对目标网络的侦察信息。在对伊朗入侵攻击时,攻击者确切地知道他们需要让那些机器不受影响,以便公开传递他们的信息;此外,他们还可以访问铁路的Active Directory服务器,该服务器用于传播恶意文件。

- END -

看更多