以色列公司曝光伊朗黑客攻击洛杉矶地铁

以色列网络安全公司 Gambit 周二发布报告，确认今年 3 月导致洛杉矶县大都会交通管理局（LACMTA）部分网络瘫痪的网络攻击，是由伊朗政府关联黑客实施的。

攻击者从 LACMTA 窃取了至少 700GB 的电子邮件、备份及其他文件。Gambit 发现这些数据被意外暴露在公开可访问的服务器上。该服务器的基础设施此前被以色列官员及外部研究人员归因于伊朗情报与安全部（MOIS）。

黑客活动伪装下的国家背景

与 Gambit 的归因相反，自称黑客活动组织的 Ababil of Minab 在 4 月初通过 Telegram 声称对此次入侵负责，并发布截图显示其入侵了 LACMTA 的 VMware 虚拟化基础设施以及车场管理和列车控制显示系统。该组织声称其删除了 500TB 数据，并窃取了更多信息。

Gambit 的报告将此次攻击与 Black Shadow 联系起来——这是一个已知的伊朗黑客行动，此前以色列国家网络管理局将其归因于德黑兰情报部。Gambit 将 Ababil of Minab 描述为“替身”（cut-out），即一个公开承认攻击的黑客活动掩护组织，而国家关联基础设施则实际持有窃取的数据。

Gambit 表示，此次攻击范围不限于洛杉矶，还涉及美国、以色列、沙特阿拉伯和土耳其境内的目标。

攻击升级的典型模式

LACMTA 入侵事件是伊朗针对西方关键基础设施的网络行动持续升级的一部分。过去一年，亲伊朗行为体已对市政水处理设施、加油站系统进行了有据可查的攻击，如今又扩展到公共交通。

3 月的攻击导致车站到站显示屏瘫痪，乘客暂时无法向 TAP 票价卡充值，但公交和铁路服务未中断。LACMTA 在 4 月表示，正在逐一检查约 1400 台服务器，随后再恢复运行。

LACMTA 周二拒绝对 Gambit 的调查结果发表评论。FBI 和网络安全与基础设施安全局（CISA）尚未公开归因此次攻击。