據(jù)《The Record》報(bào)道，美國(guó)網(wǎng)絡(luò)司令部周三透露，一個(gè)以網(wǎng)絡(luò)間諜活動(dòng)聞名的黑客組織實(shí)際上是伊朗情報(bào)機(jī)構(gòu)的一部分。美國(guó)網(wǎng)絡(luò)司令部下屬的國(guó)家網(wǎng)絡(luò)任務(wù)部隊(duì)宣布，這個(gè)被稱為“MuddyWater”的組織是伊朗情報(bào)和安全部的一個(gè)下屬單位。

這一說(shuō)法標(biāo)志著美國(guó)政府首次公開(kāi)將這一多產(chǎn)的威脅行為者--其目標(biāo)從學(xué)術(shù)界和旅游業(yè)到政府和電信運(yùn)營(yíng)商--與伊朗情報(bào)機(jī)構(gòu)聯(lián)系起來(lái)。

“美國(guó)網(wǎng)絡(luò)司令部已經(jīng)介入?！盨entinelOne公司的首席威脅研究員J.A. Guerrero-Saade在Twitter上提到伊朗的伊斯蘭革命衛(wèi)隊(duì)時(shí)說(shuō)：“MuddyWater歸屬于伊朗的MOIS（而不是一些人認(rèn)為的IRGC）?！?/p>

美國(guó)網(wǎng)絡(luò)司令部與美國(guó)聯(lián)邦調(diào)查局合作，還將全球各地雇用伊朗情報(bào)人員的多個(gè)開(kāi)源惡意軟件工具上傳到流行的惡意軟件庫(kù)VirusTotal。

“如果你看到這些工具的組合，伊朗MOIS行為者M(jìn)uddyWater可能在你的網(wǎng)絡(luò)中，”美國(guó)網(wǎng)絡(luò)司令部在這十個(gè)條目的頂部警告說(shuō)。

“我們堅(jiān)持不懈地發(fā)布惡意軟件，以使我們整個(gè)國(guó)家的防御。公開(kāi)披露惡意的網(wǎng)絡(luò)活動(dòng)或行為者，使美國(guó)的利益和我們的合作伙伴得到保護(hù)。#CyberIsATeamSport，”美國(guó)網(wǎng)絡(luò)司令部的官方Twitter賬戶發(fā)推文說(shuō)。

在一份聲明中，美國(guó)網(wǎng)絡(luò)司令部的發(fā)言人拒絕透露該組織是如何發(fā)現(xiàn)這些惡意工具的，或者這些樣本是否是由第三方提供的。

“我們不討論CNMF團(tuán)隊(duì)發(fā)布的惡意軟件樣本的來(lái)源。這些惡意軟件樣本中的一些是已經(jīng)在公共領(lǐng)域的其他惡意軟件的變種--這次披露的獨(dú)特之處在于，它提供了伊朗惡意網(wǎng)絡(luò)行為者可能通過(guò)使用惡意軟件收集信息的整體情況。”

據(jù)悉，MuddyWater，有時(shí)被稱為SeedWorm，至少?gòu)?015年開(kāi)始就進(jìn)行了間諜活動(dòng)。

上個(gè)月，賽門(mén)鐵克的威脅獵手團(tuán)隊(duì)發(fā)布研究報(bào)告，發(fā)現(xiàn)該組織在過(guò)去6個(gè)月中針對(duì)整個(gè)中東和亞洲的電信運(yùn)營(yíng)商和IT服務(wù)組織。

研究人員的結(jié)論是，所涉及的目標(biāo)和戰(zhàn)術(shù)--攻擊者依靠公開(kāi)的惡意軟件和遠(yuǎn)程管理及安全評(píng)估工具來(lái)竊取憑證，在整個(gè)網(wǎng)絡(luò)中移動(dòng)--“與伊朗贊助的行為者一致”，但沒(méi)有將該活動(dòng)歸于伊朗政府。

在美國(guó)網(wǎng)絡(luò)司令部強(qiáng)調(diào)的惡意軟件樣本中，有一些PowGoop的變種，這是一種虛假的Google更新機(jī)制。其中包括一個(gè)賦予攻擊者指揮和控制功能的變體，以及另外兩個(gè)作為信標(biāo)的變體，從被攻擊的網(wǎng)絡(luò)中聯(lián)系惡意的基礎(chǔ)設(shè)施。其他樣本包括惡意的JavaScript文件和一個(gè)版本的Mori后門(mén)。

（舉報(bào)）