伊朗黑客连环攻击80多家以色列公司

近日，勒索软件组织Pay2Key在Twitter上发文声称上周末成功入侵了以色列最大的国防承包商——以色列航空航天工业公司（IAI），并且发布了该公司的内部数据。据报道，近期活跃的勒索软件组织Pay2Key已经连环攻击了80多家以色列公司。

Pay2Key首次引起业界注意是上周一，据首次发现Pay2Key的CheckPoint上周报道，勒索软件组织Pay2Key在上周一发布了从英特尔公司的哈瓦那实验室（Habana Labs）获得的内部文件的详细信息，后者是一家以色列芯片初创公司，一年前被英特尔收购。

根据CheckPoint的报告，虽然Pay2Key这个名字早在6月份就已经在加密身份服务KeyBase.io..，但同名的勒索软件直到10月才开始活动。在攻击英特尔Habana Labs实验室得手后，人们注意到Pay2Key组织索要的赎金通常在7到9..之间，折合约13.5-17.3万美元左右，如此“低廉”的赎金价格，不禁让人怀疑其真实动机。直到近日，Pay2Key连续攻击80多家以色列公司之后，人们才意识到Pay2Key的攻击具有国家黑客的意识形态色彩。

本周一，Pay2Key在其推文（下图）和网站透露了以色列国防承包商的内部数据，网络安全专家称这显然是对以色列攻击的升级。

CheckPoint认为Pay2Key小组成员是伊朗人，原因是过去的赎金付款是通过Excoino进行的，Excoino是仅提供给拥有有效伊朗电话号码和伊朗居民身份代码的个人的伊朗加密货币交易所。

与常规勒索软件组织“闷声发大财”不同，Pay2Key异常高调，上周末甚至在推特上发布了一项民意调查，询问其粉丝哪个以色列组织的网络安全防御能力最强：以色列卫生部、交通部还是IAI？随后在上周日晚上，Pay2Key又发布了一条推文，声称是后者（IAI）。（下图）

从Pay2Key在暗网上公布的信息来看，该组织确实成功进入了IAI内部系统，该系统的内部域名为ELTA.co.il。

Pay2Key还公布了大约1,000名IAI用户的详细信息证明其“战绩”。

泄漏的信息本身并不十分敏感，其中包括工人姓名和内部计算机..表之类的信息，Pay2Key也没有索要赎金，因此这有可能是过去发生的攻击中获取的数据，攻击者很可能已经无法访问该系统。

但这也足以证明，在某个时段，黑客确实可以访问IAI内部系统的文件主目录，其中包括武器研发的技术文档和内部数据。

IAI尚未做出回应，但知情人士表示，他们目前不担心敏感信息在泄露期间被盗。

作为兼营民用航空业务的国防承包商，IAI是以色列最大的国有公司，雇员人数约16,000。IAI今年上半年的收入为21亿美元，反导系统、无人机和精确制导武器的净利润为4,800万美元，主要用于出口。IAI也是以色列2024年月球探测器项目的两家竞标公司之一。

网络安全顾问Einat Meyron认为，尽管Pay2Key的攻势很猛，但也没有必要过度恐慌：“并非每次黑客攻击都意味着完全访问权限。国防机构拥有不同的网络，有权使用封闭式机密系统的工作人员通常也不能在线访问公共互联网。Pay2Key是否可以访问机密服务器？可悲的是，我们只能拭目以待。不过以Pay2Key这种好大喜功的行事风格，任何漏洞或攻击成果都会立刻被拿出来炫耀。”

Pay2Key由两名以色列网络安全公司，CheckPoint和Whitestream十一月首次发现并展开联合研究。最初，研究者只是将Pay2Key作为颇为不断增长的勒索软件组织的新的一员看待。

勒索软件攻击通常有着类似的行为模式：以公司为目标，加密和窃取文件，然后勒索赎金“释放”文件。但是，Pay2Key显得有些另类，索要的赎金很少，行事高调、乐于展示技能和成果。 

CheckPoint甚至在将其溯源到伊朗之前，就在其安全报告中警告称，攻击者具有异于普通犯罪分子的“高级能力”。CheckPoint网络情报负责人Lotem Finkelstein上周四曾透露，在过去曝光的一些案例中，Pay2Key曾设法“在一小时内控制了整个网络”，而大多数勒索软件犯罪活动需要数小时甚至数天才能达成。

Finkelstein指出：“这是行业顶尖黑客才具备的技能。Pay2Key还具有所谓的‘操作安全性’（或OpSec），其覆盖痕迹的技法令人印象深刻。这是一个新的勒索软件团队，却展示出高超的技能，这令人怀疑，他们几乎好像不需要任何练习，就好像根本没有学习曲线一样。”

Whitestream首席执行官Itsik Levy则认为：“这是一个拥有先进技能并且非常专注的团队，最近的连环攻击浪潮无疑是一个里程碑，将给以色列信息安全管理方式带来巨大冲击和变革。”

而根据威胁情报公司ClearSky的报道，Pay2Key行动背后的组织似乎是伊朗政府赞助的黑客组织福克斯·小猫（Fox Kitten也被称为Parisite和PIONEER KITTEN），通常是国家黑客组织APT33（小精灵，Magnallium）和APT34（OilRig，Greenbug）的联合行动。

该攻击者以使用各种开放源代码和自行开发的攻击工具而闻名，被观察到的攻击行为包括针对企业VPN、F5 Networks的BIG-IP应用交付控制器（ADC）的攻击。

安全研究人员发现，Pay2Key勒索软件不需要与命令和控制（C＆C）服务器的连接即可运行。

这些攻击针对的漏洞包括CVE-2019-11510（Pulse Secure）、CVE-2018-13379（Fortinet FortiOS）、CVE-2018-1579（Palo Alto Networks VPN）、CVE-2019-19781（Citrix NetScaler）和CVE- 2020-5902（F5 BIG-IP）。此外，Microsoft Exchange Server和RDP账户也是攻击目标。