據(jù)《The Record》報道，美國網(wǎng)絡(luò)司令部周三透露，一個以網(wǎng)絡(luò)間諜活動聞名的黑客組織實際上是伊朗情報機構(gòu)的一部分。美國網(wǎng)絡(luò)司令部下屬的國家網(wǎng)絡(luò)任務(wù)部隊宣布，這個被稱為“MuddyWater”的組織是伊朗情報和安全部的一個下屬單位。

這一說法標志著美國政府首次公開將這一多產(chǎn)的威脅行為者--其目標從學(xué)術(shù)界和旅游業(yè)到政府和電信運營商--與伊朗情報機構(gòu)聯(lián)系起來。

“美國網(wǎng)絡(luò)司令部已經(jīng)介入。”SentinelOne公司的首席威脅研究員J.A. Guerrero-Saade在Twitter上提到伊朗的伊斯蘭革命衛(wèi)隊時說：“MuddyWater歸屬于伊朗的MOIS(而不是一些人認為的IRGC)。”

美國網(wǎng)絡(luò)司令部與美國聯(lián)邦調(diào)查局合作，還將全球各地雇用伊朗情報人員的多個開源惡意軟件工具上傳到流行的惡意軟件庫VirusTotal。

“如果你看到這些工具的組合，伊朗MOIS行為者MuddyWater可能在你的網(wǎng)絡(luò)中，”美國網(wǎng)絡(luò)司令部在這十個條目的頂部警告說。

“我們堅持不懈地發(fā)布惡意軟件，以使我們整個國家的防御。公開披露惡意的網(wǎng)絡(luò)活動或行為者，使美國的利益和我們的合作伙伴得到保護。#CyberIsATeamSport，”美國網(wǎng)絡(luò)司令部的官方Twitter賬戶發(fā)推文說。

在一份聲明中，美國網(wǎng)絡(luò)司令部的發(fā)言人拒絕透露該組織是如何發(fā)現(xiàn)這些惡意工具的，或者這些樣本是否是由第三方提供的。

“我們不討論CNMF團隊發(fā)布的惡意軟件樣本的來源。這些惡意軟件樣本中的一些是已經(jīng)在公共領(lǐng)域的其他惡意軟件的變種--這次披露的獨特之處在于，它提供了伊朗惡意網(wǎng)絡(luò)行為者可能通過使用惡意軟件收集信息的整體情況。”

據(jù)悉，MuddyWater，有時被稱為SeedWorm，至少從2015年開始就進行了間諜活動。

上個月，賽門鐵克的威脅獵手團隊發(fā)布研究報告，發(fā)現(xiàn)該組織在過去6個月中針對整個中東和亞洲的電信運營商和IT服務(wù)組織。

研究人員的結(jié)論是，所涉及的目標和戰(zhàn)術(shù)--攻擊者依靠公開的惡意軟件和遠程管理及安全評估工具來竊取憑證，在整個網(wǎng)絡(luò)中移動--“與伊朗贊助的行為者一致”，但沒有將該活動歸于伊朗政府。

在美國網(wǎng)絡(luò)司令部強調(diào)的惡意軟件樣本中，有一些PowGoop的變種，這是一種虛假的Google更新機制。其中包括一個賦予攻擊者指揮和控制功能的變體，以及另外兩個作為信標的變體，從被攻擊的網(wǎng)絡(luò)中聯(lián)系惡意的基礎(chǔ)設(shè)施。其他樣本包括惡意的JavaScript文件和一個版本的Mori后門。