伊朗黑客升级攻击，采用俄罗斯恶意软件平台

自2月下旬美以军事打击以来，与伊朗相关的网络行动经历了快速而危险的演变——从破坏性但技术粗糙的黑客行动，演变为如今针对海湾地区、美国和欧洲金融机构、航空、能源及水务系统的复杂多维度威胁。

攻击激增与新型网络工具涌现

威胁规模触目惊心。阿联酋政府网络安全负责人穆罕默德·阿尔·科威提在接受《海湾时报》采访时表示，自冲突爆发以来，针对该国数字基础设施的每日网络攻击数量已增至原来的三倍——从约20万次飙升至约60万次。据《海湾新闻》报道，某些日子的攻击次数甚至高达70万次，涵盖勒索软件、数据泄露、擦除型恶意软件及网站篡改等多种形式。

威胁并不局限于海湾地区。据《洛杉矶时报》和《政治》杂志报道，美国情报机构本周发布紧急预警，称伊朗黑客正在针对美国关键基础设施中由罗克韦尔自动化公司生产的可编程逻辑控制器发动攻击，受波及领域包括能源和供水系统。赛门铁克研究人员发现，伊朗APT组织“蠕虫种子”（Seedworm，又名MuddyWater）已渗透入一家美国银行、一座机场以及一家美国国防软件公司以色列分部的内部网络，入侵时间最早可追溯至今年2月初。

本周披露的另一项进展显示，多家网络安全公司已将MuddyWater与一个由俄罗斯运营、名为TAG-150的黑客组织所控制的“恶意软件即服务”平台相关联，相关行动被命名为“ChainShell”。此次攻击活动部署了基于区块链的命令与控制基础设施，并利用隐写术载荷传递恶意代码。研究人员称，这标志着攻击能力已实现“代际跃升”。

代理行为者联盟

尽管自2月28日遭受打击以来，伊朗境内的互联网几乎完全断网——据帕洛阿尔托网络公司Unit 42称，网络连接在数小时内骤降至1%至4%——但此次网络攻势并未就此放缓。据Unit 42和Flashpoint研究人员披露，约60个威胁组织（包括亲俄集体）在数日内于伊朗境外相继行动，在#OpIsrael等行动旗号下展开协调。亲俄行为者已与具有伊朗背景的黑客结成松散联盟，并有初始访问中间商在俄罗斯网络犯罪论坛上向亲伊朗组织出售被盗凭证的行为被观察到。

“长尾”威胁

安全分析人士警告，此次行动最危险的一面，可能正是那些已潜伏于西方网络内部的威胁。Kennedys Law 报告指出，目前与这场冲突相关、正在被追踪的活跃威胁组织已超过60个，其中53个站在亲伊朗一方。美国战略与国际研究中心（CSIS）本月发布的一项分析报告警告称，伊朗行为者与“伏特台风”（Volt Typhoon）等中国黑客组织，已在美国能源及其他关键基础设施中预置恶意软件——这些访问权限“可能永远无法被彻底清除”。

Thrive NextGen 研究人员在今年3月一份关于 Seedworm 活动的报告中评估认为：“伊朗行为者几乎可以肯定目前已在西方关键网络中处于预置状态。”专家表示，随着伊朗的实体报复选项日益收窄，网络行动将越来越成为其主要的报复手段。