Recorded Future发布《在内斗和动荡中,伊朗进攻性网络计划跟踪报告》

Recorded Future的InsiktGroup®正在对参与伊朗网络计划的组织进行持续研究。该报告有助于更深入地了解参与伊朗进攻性网络计划的主要军事和情报机构。尽管进攻性网络能力包括家庭攻击,但我们对宣告国际使命的组织进行了研究。由于某些组织的秘密性质以及缺乏可验证的信息,我们采用了竞争性假设来遵守行业分析标准。
出于本研究的目的,我们调查了包括巴斯基(Basij)在内的伊斯兰革命卫队(IRGC),情报和安全部(MOIS)以及国防和武装部队后勤部(MODAFL)。尽管该报告建议在一定数量的高级持续威胁(APT)组与某些情报组织之间建立联系,但由于每个组的信息存在差异,我们无法将其最终分配给特定机构。 我们研究的来源主要包括RecordedFuture®平台中浮出水面的情报,赛门铁克,FireEye,ClearSky和PaloAlto等发布的行业研究,以及开源新闻报道。

执行摘要

尽管伊朗的网络计划始终处于德黑兰不对称能力的最前沿,但其情报机构却充满各种功能失调和看似不稳定的特征。特别是,据报道,在伊斯兰共和国的各种安全危机中,其各种情报机构的政治化以及随之而来的国内争执使军官级别的军衔和档案两极化。这些危机已经公开浮出水面,并成为推动内部威胁的催化剂,降低了情报士气,并增加了泄密事件的发生。据称,情报团体之间的竞争还导致了各机构之间的直接破坏行为。 在政治内斗中,某些组织的安全能力得到了显着扩展,这无疑包括利用攻击性黑客战术,技术和程序(TTP)来进一步入侵和接触受害者。首先是伊斯兰革命卫队-情报组织(IRGC-IO)。该实体的任务在过去十年中显着增长,以至于它有能力直接违反伊斯兰共和国根据宪法授权的情报机构情报和安全部(MOIS)进行的情报评估和建议。 这是Recorded Future关于伊朗网络计划的第三份报告。在2019年1月,我们在伊朗最著名的黑客论坛Ashiyane上进行了报道,并在2019年3月发布了涵盖伊朗网络防御结构及相关组织的报告。

关键判断

  • 我们评估,尽管执行内部和外部操作的伊朗机构之间存在差异,但是每个情报机构的未定义(有时是重叠)的安全任务可能会使进行与网络相关的归因的工作复杂化。
  • 我们估计,由于情报机构的动荡和职责重叠,伊朗和区域外行为者散播虚假信息的可能性很可能仍然很高。
  • 由于伊朗情报机构的复杂性质,泄漏的历史和政治化,我们认为伊朗的安全领域可能仍然动荡不安。
  • 激进的,出于意识形态动机的网络攻击具有IRGC的特点,尤其是其海外作战司令部Quds Force。我们评估,该组织很可能已经协调了破坏性行动,这是伊朗不对称应对能力的一部分。
  • 我们估计,伊玛目侯赛因大学等大专院校很可能会继续协助伊朗的网络计划,并提高与政权相适应的运营商的能力。
  • 我们估计,总部位于伊朗的专门承包集团可能会为各种政府和军事实体提供服务。订约组也可能会根据威胁和机会目标来迎合特定于机构的任务。

背景

伊朗的情报和军事主导的网络作战受到多种因素的影响:情报机构的复杂性,任务集的重叠,最高领导人阿里·哈梅内伊的裁决和利益,伊斯兰革命卫队等军事组织的影响(IRGC)和内部政治。

伊朗情报机构

据伊朗法尔斯通讯社报道,自从1979年伊斯兰革命以来,伊朗情报机构已经发展壮大,包括至少16个进行情报活动的独立机构。Fars报告还强调了情报协调委员会(Shorai-e Hamohangi Etelaat)的作用,据称该委员会是团结所有情报实体协调努力以应对各种国内外安全威胁的主要机制。 伊朗情报机构是IRGC组织的组成部分,或者像情报和安全部(MOIS)一样,属于伊朗当选政府的不同组成部分。然而,这些实体都服从最高领导人哈梅内伊的法令;某些组织,例如伊斯兰革命卫队—情报组织(IRGC-IO),被评估为比其他组织更直接遵守哈梅内伊的利益。目前由马哈茂德·阿拉维(Mahmoud Alavi)领导的MOIS正式领导MOIS的情报任务,与当选政府的工作重点协调。 伊朗情报的特征包括任务重叠,目标要求和行动责任重叠,在某些情况下,这会导致对情报和军事资源的竞争或趋同。例如,如下所述,打击家庭颠覆不仅据报道是由MOIS执行,而且还由IRGC-IO以及其他机构(例如伊朗的网络警察(FATA))执行。 在国际上,据报道,MOIS和IRGC都领导独立的情报行动,并在应对国家安全威胁的行动中进行合作。在某些情况下,这种重叠会使动因和网络归因工作复杂化。其他情报行动,如在司法部(US DOJ)对各种伊朗网络起诉书2019年2月美国国防部引用操作工,表明资源的机构之间共享,及操作很可能与伊朗相关的多个元素提供服务安全服务。

重叠的网络任务

在许多情况下,网络战役和事件的归因表明,伊斯兰共和国两个(如果不是更多)情报组织的战略和战术利益似乎是合理的。MOIS和IRGC仍然是最相关的实体,情报和安全任务重叠。APT小组还对这两个组织的任务要求做出了回应,正如我们在下面强调的那样,APT小组也对特定的子小组做出回应。尽管技术归属是由Recorded Future和更广泛的行业进行的,但无法获得有关APT小组组成(包括人员及其网络隶属关系)的信息,但APT对特定组织的归属却变得更加复杂。归因需要汇总多个技术,组织和个人行为数据集,以实现更精确的归因。 与其他国家一样,战略和战术信息对于伊朗机构至关重要。政治,军事和经济信息是国际网络间谍活动的主要推动力,其中包括对付来自西方和中东各国政府的官员。这些行动历来是在德黑兰与国际社会之间紧张局势加剧期间发生的。在这一国际业务领域内,各种威胁参与者团体不仅继续支持MOIS和IRGC的要求,而且还支持一系列政府利益相关者和学术机构的要求,包括与国防部和武装部队后勤部有关的研发组织(MODAFL)。 公开报道显示,已知的伊朗威胁行动者还领导了针对中东国家的行动,有时作为广泛计算机网络攻击行动的一部分与特定目标进行协调和协作。最近,这包括针对巴林使用ZeroCleare破坏性恶意软件。但是,自2012年8月以来,破坏性攻击一直是伊朗不对称应对和攻击能力的一部分。2018年12月中旬,亲伊朗政府行为者可能是意大利石化巨头SAIPEM的目标,使用了更新后的Shamoon(2)(Disttrack)恶意软件。2018年12月的袭击事件发生后不久,黑客组织风格的破坏和以社交媒体为基础的信息操作由声称代表也门网络军的实体执行,这是一个支持胡赛运动(安萨·阿拉)并与之结盟的集体。协作努力凸显了潜在的威胁行动者团体在进攻努力中任务协调和共享资源的潜力。记录的未来查询 记录了有关也门网络军一些社交媒体运营的未来查询。社交媒体图像 也门网络军的社交媒体业务伴随的图像列出了SAIPEM等公司。 在国内方面,包括FATA在内的情报和安全机构与广泛的反政权政治,民兵和极端主义运动作斗争。据记录,该州的安全部门针对宗教少数群体以及库尔德人,阿瓦兹阿拉伯人和Bal路支族的种族隔离主义者进行了动荡的和网络的行动。例如,威胁演员团体称为“ 家猫”据报道,由Check Point发起的大规模网络监视运动专门针对伊朗境内外的持不同政见者,极端主义团体和少数民族。据报道,该组织的大多数行动都是针对讲波斯语,阿拉伯语,土耳其语和库尔德语的目标的,使用社会工程手段诱骗受害者下载恶意移动应用程序。 在FATA的案例中,它也已经超出了打击网络犯罪活动的法定法律授权,并且针对伊朗博客作者,例如Sattar Beheshti。我们注意到,在伊朗网络犯罪的业务范围内,尤其是在伊朗计算机犯罪法》的范围内,网络犯罪的定义实际上已经体现为包括政治活动家,他们被散布反政权材料或参加在线抗议。行业研究已经详细政治活动家已根据《计算机犯罪法》被逮捕和监禁的各种情况,以及此类立法所具有的灵活性,以使执法实体能够酌情适用它。因此,FATA的运作很可能与政府对在2009年绿色运动起义后发生的对博主和活动家的镇压有关,但可能仅限于国内安全。 伊朗的反异议行动也没有国界,因为主要为IRGC提供服务的APT35(Charming Kitten)等伊朗网络集团和Flying Kitten都显示出有意将伊朗散居在整个欧洲和北美。 自称自给自足并努力建立和出口其国防工业的系统,与军事有关的技术(包括软件)也仍然是当务之急。随着我们在本报告后面的扩展,诸如MODAFL之类的实体被评估为关注军事装备技术的计算机网络运营的主要利益相关者和受益者。

伊朗情报泄漏

泄漏经常影响伊朗情报,特别是MOIS。在整个历史中,该组织经历了多次高影响力的披露,威胁要暴露该系统的高级成员及其国际运作;重要案例包括“ 连锁谋杀案 ”,“ 伊朗电缆 ”,以及在较小程度上与反政府行动相关的各种未经证实的网络泄漏。政治上的不满促使情报机构遭到重大泄漏。这些事件描述了对情报同僚和伊朗社会的侵犯,腐败和掩盖,或者如最近的伊朗电报所暗示的那样,MOIS轻视了IRGC-Quds部队在伊拉克的情报和军事优势和做法。 反政府网络行动主要是在2009年绿色运动起义后的几年中实现的,并由自称反政府匿名团体(如匿名伊朗)进行。这些团体旨在揭露德黑兰针对平民和国际目标的网络努力,并导致涉嫌机密文件,网络项目,伊朗政府的腐败以及针对中东国家的国际行动的披露。最近的反政府网络操作激增始于2017年底,直到撰写本文之时为止,据报道,诸如Tapandegan,Lab Dookhtegan和Aahack Security Team等多个组织领导了对政府和军事资产的入侵。

疑似虚假信息的努力

我们对伊朗虚假信息的调查继续发现了可能发生的误导情况,因此,在撰写本文时,我们评估了伊朗行为体在虚假信息方面的潜力在未来可能还会继续上升。泄漏以及区域外参与者操纵泄漏的数据或降低数据分类和归因,从而为西方网络安全组织服务其利益的可能性进一步放大了这一点。例如,后者包括使用预先存在的C2来掩盖区域外威胁参与者自己的行动。 自2017年下半年至2019年全年,自称是伊朗的持不同政见者实体一直在进行全面努力,以揭露伊朗情报和军事机构在伊朗和整个中东地区的行动。这些工作包括Lab Dookhtegan,“绿色Leakers”(Afshagaran-e Sabz),“ Black Box”(Resaneh Khabari Jabeh Siah)和“ Hidden Reality”(Vaghiyate Penhaan)等组织。后者报告了据称承包商拉纳研究所的活动,我们将在下面对此进行详细讨论。在撰写本文时,Insikt集团尚未全面证实这些集团声称要维护的对伊斯兰共和国的所有情报和任务。这些实体声称要对德黑兰采取行动,并针对APT团体和伊朗情报部门散布了大量情报, 卡巴斯基实验室 2019年8月和2019年12月发布了两份报告,可能将俄罗斯威胁行为者与拉娜研究所的泄漏联系在一起。根据对泄漏的材料,基础设施和专用网站的分析,报告评估了与俄罗斯联邦武装部队总参谋长总局有关的威胁行为者。但是,在撰写本文时,Recorded Future无法确认此评估的有效性。 在另一起案件中,《记录的未来》报道了据称伊朗网络程序高级成员穆罕默德·侯赛因·塔吉克(Mohammad Hussein Tajik)的死亡,该报道涵盖了伊朗黑客等级制度的报道。围绕IRGC-IO逮捕持不同政见者Ruhollah Zam的不实消息。在撰写本文时,尚未证实向扎姆等持不同政见者传播有关伊朗网络计划的信息。扎姆(Zam)屡屡遭到诽谤攻击,并因其情报行动的受害者而被伊朗情报部门淘汰。我们估计这些活动可能是为了降解Zam,并对他的来源和方法充满信心。扎姆(Zam)关于塔吉克(Tajik)的报道暗示伊朗参与了针对美国,沙特阿拉伯和土耳其的国际网络行动,并将其与据称发动了这些攻击的行动设施-海巴尔中心(Khaybar Center)相联系。根据Zam的说法,该设施 虽然源自伊朗的虚假信息努力仍然是一个可信的威胁,但我们评估,区域外行为体也可能试图通过假扮伊朗APT团体来误导侦查和归因工作。我们评估这可能包括使用以前与伊朗威胁行为者相关的服务器基础结构(C2),例如APT33,APT35和MuddyWater。我们在2019年12月的《Operation Gamework》报告中强调了这是一种可能的情况,该报告显示C2和恶意软件与俄罗斯APT BlueAlpha重叠。

使情报机构政治化

由于伊朗情报机构的泄密历史,以及政治化和派系主义加剧的时期,我们认为伊朗的安全领域可能仍然动荡不安。 波斯语开放源代码报告强调了伊朗的MOIS如何经历派系主义程度的提高,这很可能损害了该机构确保其范围的能力。公开报告进一步表明,内部政治已经影响了情报机构的多个层面,使IRGC-IO侯赛因·泰布(Hossein Taeb)的负责人与前MOIS领导人Heydar Moslehi和包括前总统Mahmoud Ahmadinejad(2005-2013)和Sadeq Larijani在内的各种政治人物交锋。据报道,IRGC-IO负责人支持针对伊朗政治团体的情报行动,这些团体反对IRGC的证据确凿,具体描述了腐败案件。 根据前总统哈塔米(1997-2005),MOIS被声称已经经历了扑杀强硬派官员和支持者,这最终导致了机构的撤退从追求进取的国际化经营和适度的。1 1997年至1998年间,最高领袖哈梅内伊据报道促进伊斯兰革命卫队的情报任务,一个首长。从那时起,IRGC的情报开始执行与MOIS相似的职责,我们认为这有助于应对国家安全威胁的重叠工作。 据报道,在前总统艾哈迈迪内贾德(Ahmadinejad)的领导下,MOIS 在2009年起义后经历了进一步的不稳定,IRGC领导对MOIS官员进行了清洗。公开报道还援引内贾德如何试图利用MOIS到起租 kompromat(“危害物质”)对政治对手。哈德米和他的前任拉夫桑贾尼领导的旨在消除伊朗改革主义的强硬派意图,在伊朗强硬路线的主要成员和美国领导人的早期宣言《新时代与我们的责任》(dowlat-e jadid va masooliat-haye ma)中被准确地抓住了。前IRGC的安萨尔·真主党。宣言发出警告并要求内贾德第一届政府防止MOIS继续朝着哈塔米时代的变化方向发展,并要求伊朗情报部门不大可能执行出于意识形态动机的国际行动。 在现任哈桑·罗哈尼(Hassan Rohani)(2013年至今)领导下,MOIS经历了类似的政治化事件。伊朗情报部长马哈茂德·阿拉维(Mahmoud Alavi)因缺乏情报和安全证书而受到指责,后来成为强硬分子煽动的出于政治动机的攻击的目标。与哈塔米(Khatami)总统任期相似,罗哈尼(Rohani)其任期之初以具有改革意识的议程开始,其中包括降低MOIS并使其更具责任感。来自BBC的报告表明鲁哈尼使用了该机构在反腐败的情况下,这进一步盘踞它在政治缠斗,从征用驱逐伊朗革命卫队及其支持者部门伊朗的经济。 根据英国广播公司(BBC)的报告,MOIS至少在三个不同的场合被撤回,其裁决被IRGC-IO的平行活动和影响力所拒绝。据报道,其中包括逮捕亲改革派电报频道的经理,逮捕罗哈尼的间谍活动联合全面行动计划(JCPOA)谈判小组成员,以及逮捕环境活动家。据报道,在罗哈尼统治下,MOIS继续在国家安全领域,特别是在反情报和反国内颠覆领域内,向IRGC-IO 失去权力

对伊朗网络干部的影响

伊朗情报机构中派系主义程度的提高很可能已经影响了伊朗的网络力量。Insikt Group评估了政治内斗的直接结果可能已经渗透到伊朗的网络运营商,伊朗网络运营商迄今为止公开支持一方或另一方(MOIS或IRGC)。 例如,社交媒体上的ter不休,说明了支持IRGC的伊朗网络运营商之间的分歧和嘲讽,例如Armin Rad(也称为“ Ayoub Tightiz”)和Mohammad Jorjandi,后者经常批评Rad及其支持基础。2此外,据报道,乔尔詹迪(Jorjandi)总部位于美国,截至撰写本文时,据称与Lab Dookhtegan有关的黑客攻击和泄漏操作是出于MOIS和IRGC之间的竞争,后者有意泄漏了信息关于MOIS损害其声誉和声誉的信息。 尽管我们不能证实Jorjandi的说法,但Lab Dookhtegan所描绘的MOIS的针对目标包括APT34的成员,例如Yashar Shahinzadeh。我们对Shahinzadeh在社交媒体上的ter不休的观察表明,他反对Rad等亲IRGC政权的黑客,并试图协助当选政府成员,特别是信息和通信技术部长Mohammad Javad Jahromi。这项援助主要集中在检测易受攻击的政府数据库上。

外表

伊朗的网络行为者处于独特的位置,可以继续偏离归因尝试,这主要是由于迎合伊朗不同情报中心的行为者人数不断增加。无论是IRGC-IO,圣城军,MODAFL还是MOIS,这些实体始终处于伊朗网络能力的最前沿,并能够领导国际攻击。公共信息还指向这些实体,利用承包商社区来追求其情报目标,我们认为,这仍然是伊朗未来网络生态系统的重要特征。 凭借更熟练的网络干部,更有效的工具以及更强大的操作安全措施,包括产生和散布虚假信息的能力,伊朗的网络业务可能会继续迅速瞄准中东国家和整个国际社会。伊朗的安全部门也很有可能继续将目标对准伊朗的侨民和少数族裔社区,这两者都对德黑兰公认的国内稳定构成了威胁。

缓解措施

  • 感兴趣的利益相关者应利用诸如红帽分析和欺骗检测之类的结构化分析技术,以协助进行更精细的归因尝试,同时还减轻网络对手的虚假信息努力。
  • 与伊朗的政治发展保持同步,观察影响情报领域的活动(例如腐败丑闻,权力斗争,逮捕记者和激进主义者,改组情报团体的领导人,使用外国技术,禁止使用社交媒体以及依此类推)。
  • 波斯语异议人士报告经常包括与镇压少数民族,抗议者以及逮捕外国人和双重国籍人有关的活动。这些消息来源通常还可以洞悉参与逮捕的情报和军事组织及其声称的动机。
  • 伊朗网络运营商在Twitter,Instagram和Telegram上保持相对公开的存在。这些公共资源可以提供对组织发展,培训,政治见解及其运营网络的见解。
  • 为了防止和减轻虚假信息的影响,我们建议验证和证实来自社交媒体和公开消息平台的伊朗网络发展。
  • 跟踪伊朗APT团体的活动不仅可以提供有关TTP的见解,还可以提供受害者知识,以加深对组织利益的了解。
Despite Infighting and Volatility,Iran Maintains AggressiveCyber Operations Structure》报告下载地址:请单击此处  
0 0 vote
Article Rating

未经允许不得转载:x-sec » Recorded Future发布《在内斗和动荡中,伊朗进攻性网络计划跟踪报告》

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x