伊朗升级网军实力，一雪核子设施被瘫痪之耻

在资安的领域，就像传统军武，各方都会养团队对抗对方。一时落败的一方会努力追上，资安公司 Cylance 的报告指出伊朗为一雪前耻，被蠕虫 Stuxnet 搞掉核子设施的耻辱，运用国家力量升级网军，针对头号敌人美国及以色列的敏感设施渗透，总计有 50 个机关受影响。当然伊朗官方否认指控。

这次伊朗牵涉在内的骇客行动，命名为 Operation Cleaver。目前收集到的资讯，显示这次行动主要目的是情报运作，潜伏在目标的电脑，但潜伏的恶意程式仍有能力发动攻击。骇客用 APT 的手法侵入目标电脑，尽管 APT 攻击手法不好追查来源，不过报告中指出攻击来自伊朗境内的网域，伊朗公司 Tarh Andishan。

Cylance 表示现在揭露 Operation Cleaver，主要是观察到的行动只占整体的一部分，迟早有一天全球的安全将遭到威胁。选择此时揭露，需要资安界努力一起来面对危机。这次见识到的伊朗 Operation Cleaver 小组，他们团队不断演化，比先前看过的伊朗攻击行动更快更好。

据消息人士指出，电力公司 Calpine Corp，沙特阿拉伯国营石油公司，沙特阿拉伯国家石油公司 (Saudi Aramco)，墨西哥石油公司 (PEMEX)，以及航空公司卡达航空、大韩航空，都是骇客的重点目标。

沙特阿拉伯国家石油公司并不是第一次被攻击。2012 年就有 30,000 台电脑遭恶意程式 Shamoon 入侵。这次可说是单一公司最大规模的破坏，美国研判伊朗在背后搞鬼。

Operation Cleaver 的名称来自骇客用的软件中，常出现的字串。跟伊朗相关的踪迹除了攻击发起的 IP 来自伊朗以外，骇客用的名称是波斯语。

除了美国、以色列、沙特阿拉伯、韩国，其他受害国家有加拿大、中国、英国、法国、德国、印度、科威特、巴基斯坦、土耳其。韩国成为受害者可能是因为伊朗与北朝鲜有情报交换的协议。被入侵的组织类型有太空科技公司、机场、航班、大学、能源公司、医院、电信业者。

 ▲ 受害地区全球一览图

2010 年蠕虫 Stuxnet 造成伊朗核子计划停滞。伊朗倾全国之力，努力投资资源在骇客军团上，一雪先前的耻辱。美国、以色列和伊朗之间网络上骇客攻防的一部分，在这一仗伊朗屈居下风，核子设施被入侵打挂。

报告引述以色列资安专家的话：“伊朗已经可以被视为第一级的骇客国家了。”其他人评论伊朗的国家骇客能力已经与中国旗鼓相当，但在虚张声势上能与俄罗斯拼了。

“全球的基本设施营运商都需要认直面对这次威胁，伊朗带来的威胁是确切发生的，如果还没发生就是即将来临了。”Mark Weatherford，前美国国土安全部资安专家说。

(首图来源：Cylance 报告)