伊朗駭客攻擊鎖定世界各國的重大基礎設施

安全公司Cylance發佈報告指出，自2012年起，伊朗駭客已經直接攻擊、滲透全球多個國家政府機關與重要基礎設施的網路，並已取得高度機密的資料，受害國家包括美、中、英、德、加，以及土耳其、沙烏地阿拉伯等波斯灣區國家共16國。

安全公司觀察到一個稱為Tarh Andishan的伊朗駭客組織，意思是「思想家」或「開創者」，他們以伊朗德黑蘭為核心基地，而以荷蘭、加拿大與英國等為次要據點在全球發動攻擊，目標涵蓋了軍事、能源、電力、運輸、機場、醫院、電信、航太與國防工業公司及政府機關。

Tarh Andishan展現高超技術能力，利用可公開取得的工具，透過資料隱碼攻擊（SQL Injection）、目標式網釣、集水坑攻擊（water holing），以及直接駭入網站等各種手法，或具備ARP Poisoning、加密、憑證傾倒（credential dump）、鍵盤側錄等功能的客製化工具等手法，已取得高度機密資料甚至控制網路，受害單位超過50個，包括美國海軍陸戰隊內部網路（NMCI, Navy/Marine Corps Intranet）。

Cylance相信，這是伊朗對過去數年來遭受幾波重大攻擊行動之後由國家支持的報復行動。過去伊朗遭遇包括Stuxnet、Duqu及Flame等攻擊行動，被入侵核能、油、電基礎設施，這些行動還可能想要破壞其工業控制設施。2012年伊朗駭客也曾利用Shammon惡意程式來攻擊沙特阿美石油公司（Saudi Aramco），重創其公司網路，影響3萬多台電腦端點，之後耗費數萬小時才得以恢復。2012到2013年間也曾對美國銀行發動攻擊，之後到2014年之間安全公司皆偵測到數波攻擊行動。

安全研究人員經過過去兩年的偵察發現最新名為Operation Cleaver的攻擊行動，駭客已大舉展開全球監視與滲透，且成功躲過安全技術的偵測。安全公司已蒐集到代號為TinyZBot的僵屍程式碼、與鍵盤側錄程式等工具有關的PDB和Jimbp的駭客名稱。Clylance 執行長Stuart McClure指出，基於對駭客組織能力及目標的了解，Operation Cleaver行動可預期有嚴重後果，因而促使該公司發佈研究結果。

安全公司指出，伊朗駭客的網路戰爭的能力使其對真實世界的威脅大幅提升。由於伊朗企業官民合一的特性，有利於合法的軟體工程和國家資助的駭客行為之間的界限模糊化，進而有助於掌握全球基礎設施的能力。（編譯/林妍溱）