NCSC说,据称国家黑客正在调整掩盖他们的曲目
被称为Turla的黑客群体已怀疑与俄罗斯联邦安全服务的联系,这是过去几年的多个国家的怀疑来源,其中大多数在中东,表明需要认识到Cyber攻击者将继续适应和发展以避免检测。
在为期两年的调查之后,英国的国家网络安全中心(NCSC)和美国国家安全局(NSA)已出版证据声称,该小组在其受害者追求其受害者利用基于伊朗的黑客群体使用的技巧之后。
Turla使用从先进的持久威胁(APT)演员代号为oilrig的植入物袭击其受害者,这些植物被认为是与伊朗政府的联系。这意味着它的攻击似乎是伊朗原产地,当不是这种情况时,该NCSC表示没有看到两组之间的勾结证据。
在某些情况下,调查人员发现这些植入物已经由与Turla相关的基础设施的资本相关的IP地址部署已经部署 - 这将暗示一些受害者已经受到伊朗人受到损害的。包括一些在英国的受害者,主要是军事组织,政府部门和学术和研究机构。
“识别负责攻击的人可能是非常困难的,但对Turla集团的证据重点呈现在这项运动之后,”NCSC运营总监保罗·奇切斯特表示。
“我们想发出明确的消息,即使网络演员寻求掩盖他们的身份,我们的能力最终会识别它们。Turla获得了对伊朗工具的访问,并能够识别和利用他们进一步进一步的目标。“
Cyber Ark的Emea技术总监David Higgins表示,NCSC和NSA强调了企业的需求,了解攻击者将使用任何手段持续未检测到的方法,这表明这一点表明Cisos需要改变他们的思想并避免将受害者降落到自满。
“假设攻击者不会尝试仍然未被发现和有效的新方法自满。攻击者不断审查并评估我们保护自己的方式,以及我们如何应对威胁,“希金斯说。
“通过了解组织如何进行违规审裁,他们试图进行错误方向来保护自己,同时指向另一个国家的手指,这增加了政治影响。
“这种情况强化了认为像攻击者一样的需要。我们的防御技术必须不断发展,以确保基本的安全控制到位并不断测试。“
Richard Bejtlich,Corelight的主要安全战略家补充说:“俄罗斯利用伊朗基础设施表明,执行威胁演员归属的组织不能依赖于单一信息来源,例如IP地址,以确定对抗身份。
“虽然有些人已经快速将这个消息标记为失败的归因,但我看到相反。三家私营部门公司 - 赛门铁克,ESET和Kaspersky - 在NCSC报告之前讨论了这个问题。我认为这是网络威胁情报团队可以通过国家情报机构可以支持虚假旗帜的证据证明。“
John Hultquist,Fireeye的Intelligence Analysis Director,另一种先前在油匠之间定位联系的安全公司 - 也称为APT34 - 和德黑兰:“Fireeye没有独立证实GCHQ关于俄罗斯 - Nexus Turla团队的报告及其使用伊朗 - Nexus APT34工具和基础设施。
“所描述的活动与Turla的过去的活动一致 - 高度隐蔽的操作,具有重大考虑运营安全。事件也反映了Turla的技术技能,因为这个演员是最有能力的演员轨道之一。
“利用其他基础设施的收集努力以及对等体的能力,如此,提供低成本,高奖励方式来进行操作,同时可能会令人困惑的归因。”