上個月即7月9日對伊朗鐵路系統的網絡攻擊造成大范圍混亂，數百列火車延誤或取消時，人們自然地指攻擊者向與德黑蘭長期處于幽靈戰爭中的以色列。因為近年來，伊朗及其核計劃一直是一系列網絡攻擊的目標，其中包括2009-2010年由以色列和美國領導的針對鈾濃縮設施的著名的震網攻擊事件。

　　反過來，德黑蘭在過去十年中被指控入侵其他政府、網絡安全公司和網站。在一個案例中，美國指控經常為伊朗伊斯蘭革命衛隊工作的計算機科學家對數十家美國銀行進行網絡攻擊并試圖控制它們。比如紐約郊區的一座小水壩。

　　全球頂級網絡安全公司 Check Point Software Technologies 的一項新調查得出結論，一個反對伊朗政府的神秘組織很可能是這次黑客攻擊的幕后黑手。這與之前由國家實體發起的許多網絡攻擊形成鮮明對比。該團體被稱為 Indra（因陀羅），以印度神話中的戰神命名。

　　《紐約時報》研讀了該公司的報告，稱這次攻擊是一個警告：沒有預算、沒有政府人員或能力的反對派團體仍然可能造成重大損失。

　　Check Point 高級研究員 Itay Cohen 說：“我們已經看到許多與專業或軍事情報部門有關的網絡攻擊。” “但這里似乎是另一回事。”

　　Checkpoint在其分析報告中稱，針對關鍵基礎設施的網絡攻擊事件容易使人立即想到的是民族國家層面的行為體所為。雖然大多數針對一個國家敏感網絡的攻擊確實是其他政府所為，但事實是，沒有什么魔法盾牌可以阻止一個非國家支持的實體制造同樣的破壞。

　　Checkpoint的報告分析了伊朗鐵路系統遭網絡攻擊的政治動機攻擊，該攻擊被懷疑是由非國家支持的行為體發動的。這次襲擊恰好是針對伊朗的，但它也很可能發生在紐約或柏林。分析過程著眼于一些技術細節，并揭露這次攻擊的幕后主使，從而將其與早些年其他幾次出于政治動機的襲擊聯系起來。

　　Checkpoiont研究的重要發現

　　2021年7月9日和10日，伊朗鐵路和道路和城市發展部系統成為了有針對性的網絡攻擊的對象。Check Point Research對這些攻擊進行了調查，發現多項證據表明，這些攻擊嚴重依賴于攻擊者之前對目標網絡的了解和偵察。

　　針對伊朗的網絡攻擊被發現在戰術和技術上與此前針對敘利亞多家私營公司的活動相似，至少自2019年以來一直在進行。將這次行動與一個自稱為反對派組織的威脅組織聯系了起來，這個組織叫Indra（因陀羅）。

　　這些年來，攻擊者在受害者的網絡中開發并部署了至少3種不同版本的“擦除器”惡意軟件，分別是Meteor、Stardust和Comet。從這些工具的質量、它們的操作方式以及它們在社交媒體上的存在來判斷，Checkpoint發現因陀羅不太可能是由一個民族國家行為體操作的。

　　Checkpoint的分析報告詳細描述了對工具以及底層參與者使用的TTP的技術分析。并與公眾分享Yara規則和妥協指標的完整列表。

　　從這個Indra組織有有關文件來追蹤的過程，比如惡意軟件的執行過程，擦除器的主要功能、主要配置、配置的步驟、這一惡意軟件的升級演進、與伊朗最近遭遇攻擊事件的關聯、早期對敘利亞網絡的攻擊關聯等詳細信息，以及披露的IoCs、YARA規則等，可參閱Checkpoint的詳細分析報告。

　　在《伊朗鐵路系統網絡攻擊元兇初現端倪》一文中，SentinelOne的安全研究人員偶然發現了一種迄今未知的數據清除惡意軟件，它可能是本月早些時候針對伊朗鐵路系統的破壞性網絡攻擊的一部分。SentinelLabs的研究人員能夠重建攻擊鏈的大部分，其中包括一個有趣的從未見過的擦除器軟件。當時SentinelLabs還無法將攻擊活動與先前確認的威脅組織聯系起來，也無法將其與其他襲擊聯系起來。聲稱這個擦除器是在過去三年開發的，是為重用而設計的。為了鼓勵進一步發現這一新的威脅行為者，研究人員共享了攻擊指標，鼓勵其他安全研究人員共同探尋真相。

　　認識因陀羅

　　Checkpoint的仔細研究不僅揭示了攻擊的目標，還揭示了這些行動背后的組織的身份——一個以印度戰神“因陀羅”（Indra）命名的組織。事實上，因陀羅并沒有試圖隱瞞他們對這些行動負有責任，并在多個地方留下了他們的簽名。

　　攻擊者在受害者被鎖定的電腦上顯示的圖像宣布“我是因陀羅”，并承認對卡特吉集團的攻擊負責。

　　因陀羅在受害者機器上設置的壁紙，聲稱對攻擊負責，并指責卡特吉集團“支持恐怖分子”和“出賣靈魂”。

　　（因陀羅對其部署“彗星”（Comet）的攻擊負責）

　　此外，除Meteor外，擦除器的所有樣本都包含多次出現的字符串“INDRA”。Comet變體使用它作為新創建的Administrator帳戶的用戶名。但在Stardust上，它是一種惰性的神器，不參與執行。

　　（Stardust惡意程序內的Indra字符）

　　研究人員想知道這個因陀羅攻擊組織是否在網上出現過，事實上，他們有。他們在不同的平臺上運營多個社交網絡賬戶，包括Twitter、Facebook、Telegram和Youtube。除其他信息外，這些賬戶還披露了對上述公司的攻擊：

　　（Indra組織的推特賬號承認對Arfada的攻擊負責）

　　調查這些社交網絡活動，人們可以了解該組織的政治意識形態和攻擊動機，甚至可以了解該組織之前的一些行動。

　　因陀羅的官方twitter帳戶狀態的標題，“旨在將停止的恐怖QF及其兇殘的地區代理”，他們宣稱自己是非常專注于攻擊不同的涉嫌與伊朗政權合作的公司，特別是與“圣城軍”和真主黨。他們的帖子都是用英語或阿拉伯語寫的（這兩種語言似乎都不是他們的母語），多數都是反對恐怖主義，或提供遭到該組織攻擊的不同公司的文件泄露，這些公司被懷疑與伊朗Quads部隊有關聯。

　　在2019年9月發布的第一條信息中，INDRA聲稱成功攻擊了Alfadelex公司，摧毀了他們的網絡，并泄露了客戶和員工的數據。

　　部分照片被張貼分布，一個人坐在電腦前觀看圖像時研究人員發現Comet在他們所使用的屏幕（一個只能想象他們如何感覺在那一刻）。另一張顯示在alfadlex網站上的圖片，與研究發現的用于攻擊alfadlex、Katerji和Arfada的其他圖片背景相同。

　　這張背景圖片也出現在因陀羅Twitter和Facebook賬戶的封面照片上。

　　（因陀羅的推特賬戶上發布了攻擊Alfadelex的截圖）

　　（被感染的電腦顯示了研究人員發現的攻擊Alfadelex的照片）

　　因陀羅之前的攻擊活動

　　總結因陀羅的社交網絡活動，行動者聲稱對以下攻擊負責：

　　2019年9月：位于敘利亞的貨幣兌換和轉賬服務公司Alfadelex Trading遭遇攻擊。

　　2020年1月：敘利亞私營航空公司占翼航空（Cham Wings Airlines）遭遇攻擊。

　　2020年2月和2020年4月：接管Afrada和Katerji集團的網絡基礎設施。這兩家公司也都位于敘利亞。

　　2020年11月：Indra威脅要攻擊敘利亞巴尼亞斯煉油廠，但尚不清楚是否實施了威脅。

　　2020年11月左右，因陀羅的所有賬戶都陷入了沉默。在這次行動之前研究人員沒有找到任何其他行動的證據。

　　因陀羅和伊朗遭黑事件的關聯

　　2019年和2020年針對敘利亞目標的一系列攻擊，與針對伊朗網絡的行動有很多相似之處。這些都是類似的工具，戰術，技術和程序（TTP），以及攻擊的高度針對性，他們讓研究人員相信，因陀羅也要為最近在伊朗的攻擊負責。

　　這些攻擊都是針對與伊朗有關的目標，無論是2021年的伊朗鐵路和伊朗公路部，還是2020年和2019年的卡特吉、Arfada、Alfadelex和其他敘利亞公司。因陀羅的推文和帖子清楚地表明，他們的目標是他們認為與伊朗有聯系的實體。

　　Checkpoint分析的所有攻擊中的多層執行流程——包括最近針對伊朗目標的攻擊——使用腳本文件和歸檔文件作為傳遞的方式。這些腳本本身，盡管它們是不同的文件類型，但具有幾乎相同的功能。

　　執行流程依賴于之前對目標網絡的訪問和偵察信息。在入侵伊朗目標的場景下，攻擊者清楚地知道，為了公開傳遞信息，他們需要不影響哪些機器；此外，他們還可以訪問鐵路的Active Directory服務器，用來分發惡意文件。因陀羅進行偵察的另一個跡象是他們從Alfadelex的網絡攝像頭上截取的截圖，顯示辦公室內有一臺受感染的電腦。

　　擦除器是部署在上述所有攻擊中受害者計算機上的最后有效載荷。流星、星塵和彗星是相同有效載荷的不同版本，沒有跡象表明該工具曾被其他威脅行為者使用過。

　　研究人員分析的攻擊背后的行動者并沒有試圖對他們的攻擊保密。他們分享信息并展示了宣布攻擊的圖片。在針對伊朗目標的攻擊中，這些信息不僅顯示在受影響的電腦上，還顯示在平臺板上。

　　與之前的行動不同，Indra沒有公開承認對伊朗的攻擊負責。這可能可以用新攻擊的嚴重性以及它們的影響來解釋。針對敘利亞攻擊，具體目標是私營公司，而針對伊朗鐵路和公路和城市化部的攻擊針對的是伊朗官方實體。此外，敘利亞的攻擊幾乎沒有得到媒體的關注，而針對伊朗政府的攻擊卻在世界各地被廣泛報道，據報道給伊朗人帶來了一些悲傷。

　　結論

　　通過對這次針對伊朗的最新攻擊進行分析，研究人員能夠揭示其復雜的執行流程，以及最終“擦除器”組件的另外兩種變體。這些工具此前曾被用于攻擊敘利亞公司，威脅行動者因陀羅在其社交媒體賬戶上正式表示對此負責。雖然因陀羅選擇不為最近針對伊朗的攻擊負責，但上述相似之處暴露了兩者之間的聯系。從這次事件中可以吸取兩個教訓。

　　首先，匿名是一條單行道。一旦你為了公關和在Twitter上獲得一些贊而犧牲了它，就不那么容易恢復了。你可以停止向全世界廣播你的行動，你可能認為你已經在雷達下，但互聯網記住，并給予足夠的動機，它會去匿名你，即使你是一個壞蛋黑客激進分子威脅演員。

　　其次，應該更加擔心那些完全有可能發生、但根據普遍共識“顯然不會發生”的攻擊。盡管網絡犯罪、黑客行動主義、民族國家干預等等造成了諸多麻煩，但總體而言，攻擊的程度和復雜性仍只是其全部潛力的一小部分；通常情況下，威脅行為者不會做X, Y, Z，即使他們完全可以。

　　像這樣的情況，所謂的威脅行動者繼續做X, Y, Z，應該會提高公眾的集體焦慮水平。正如在報告開頭所述，這次攻擊發生在伊朗，但下個月，其他一些組織可能會對紐約發動類似的攻擊，下個月又會對柏林發動攻擊。沒有什么能阻止它，除了威脅行動者有限的耐心、動機和資源，正如剛才清楚地看到的，這些有時畢竟不是那么有限。

　　最后，真正讓人們后怕的是，就這樣一個能力水平一般的“小毛賊”，也能干成讓全球震驚的大事情。對付不了這等“小毛賊”，談何應對網絡戰水準的“大玩家”。