解读伊朗黑客利用VPN漏洞入侵全球企业内网事件

伊朗黑客组织这几个月以来一直在攻击企业VPN，现在正打算通过地下论坛向其他黑客出售这些被入侵企业内部网络的权限，以此谋得巨额利益。

他们针对的企业遍布IT、电信、油气、航空、政府和安全行业。

一、伊朗国家黑客正在地下论坛出售受陷企业的访问权限

2020年9月1日，著名网络安全公司Crowdstrike发布报告称，一个由伊朗国家资助的黑客组织正在地下黑客论坛上出售受陷企业网络的访问权限。

Crowdstrike安全公司将该黑客组织称为 Pioneer Kitten，它也被称为“Fox Kitten”或“Parisite”。

1、黑客组织曾多次入侵企业网络

Crowdstrike安全公司认为这一黑客组织是受伊朗政府资助的，并且他们在2019年多次通过VPN和网络设备中的多个漏洞入侵企业网络，例如：

Pulse Secure “Connect”企业 VPN中的漏洞 (CVE-2019-11510)

运行 FortiOS 的Fortinet VPN 服务器中的漏洞 (CVE-2019-1579)

Citrix “ADC”服务器和 Citrix 网络网关漏洞 (CVE-2019-19781)

F5 Networks BIG-IP加载平衡器 (CVE-2020-5902)

根据网络安全公司ClearSky和Dragos的报告，Pioneer Kitten 组织一直在使用如上这些漏洞攻陷网络，植入后门，随后为其它伊朗黑客组织（如 APT33、Shamoon、ATP34 或 Chafer）提供访问权限。

然后，这些其他黑客组织会进入漏洞提供的后门，通过使用更高级的恶意软件和漏洞在网络上横行霸道，然后搜索并窃取伊朗政府可能感兴趣的敏感信息，最后又借此来横向扩展Pioneer Kitten所设法获得的“初始访问权限”。

可以看得出，他们在2019年做的是有预谋、有组织、环环相扣的黑客行动。

2、黑客组织在地下论坛出售企业网络访问权限

而就在2020年9月的第一天，这一黑客组织又被发现，他们在黑客论坛上出售对受陷企业网络的访问权限，并且这一行为至少是从今年7月开始的。

Crowdstrike安全公司认为这个黑客组织是在试图让他们的收入来源多样化，并且将一些对伊朗情报机构没有任何价值的漏洞，进行回收再利用，二次开发变现，以获得高昂利润。

伊朗国家黑客组织的常见目标通常包括位于美国、以色列和中东地区的其它国家。

目标行业通常包括国防、医疗、技术和政府行业。其它可能并非伊朗政府黑客的目标和范围，很可能是在地下黑客论坛上出售。

当前，“初始访问经纪人”（如 Pioneer Kitten）的最大客户群通常是勒索软件团伙。

是的，你没看错，之所以称之为经纪人，是因为现在黑入企业网络并植入后门已经成为了一门生意。

二、伊朗国家黑客滥用VPN漏洞，入侵全球企业内网植入后门

伊朗国家黑客其实早就被爆出来过，他们一直在入侵企业VPN服务器，在世界各地的公司中植入后门。

特别是2019年，这一年值得引起所有人的关注。

因为大量企业VPN服务器被发现存在重大安全漏洞，比如Pulse Secure、Palo Alto Networks、Fortinet和Citrix出售的VPN服务器。

而今年2月的一份报告更是显示，受伊朗政府资助的黑客组织在2019年以利用VPN漏洞作为首要任务，一旦这些漏洞公开，他们就会渗透并在世界各地的公司植入后门。

报告指出，伊朗国家黑客针对的企业遍布“IT、电信、油气、航空、政府和安全行业”。

1、某些攻击仅发生在漏洞公开数小时后

报告指出，伊朗黑客组织同样精通黑客技术，而且和俄罗斯、朝鲜国家黑客组织等一样足智多谋，这一点和人们一贯的认识是不同的。

ClearSky公司指出，“伊朗 APT*组织已经开发出良好的技术攻击能力，而且能够在相对较短的时间内利用1天的漏洞。”该公司指出，在某些实例中发现，VPN 缺陷遭公开数小时后，伊朗国家黑客就能利用它们发动攻击。

（注：* APT代表高级持续性威胁，是一个经常用来描述民族国家黑客组织的术语。）

在2019年，伊朗黑客组织迅速利用VPN 漏洞让漏洞变成可以攻击企业网络安全的武器，VPN漏洞如下：

Pulse Secure“Connect” VPN (CVE-2019-11510) 、Fortinet FortiOS VPN 漏洞 (CVE-2018-13379) 和 Palo Alto Networks“Global Protect” VPN 漏洞 (CVE-2019-1579)。

虽然对这些系统的攻击始于去年夏天，当时有关这些错误的详细信息已公开，但到2020年这些攻击仍在继续。

另外，随着其它 VPN 缺陷遭公开，伊朗黑客组织还将这些漏洞利用到攻击活动中（即CVE-2019-19781，这是Citrix“ ADC” VPN中披露的漏洞）。

2、入侵企业目标植入后门

报告指出，这些攻击的目的是入侵企业网络，在内部系统中横向移动并在后续日期植入后门。