【導讀】利用VPN漏洞發動攻擊，似乎越發成為疫情當下黑客入侵企業，布局全球網絡態勢的新手段。前段時間，國外某研究機構發布一份報告，重磅爆出伊朗“Fox Kitten”的網絡間諜計劃——利用未修補的VPN漏洞作為切入點，向全球政府和企業植入后門，引發安全界廣泛熱議。而今天，在新冠疫情全球范圍爆發，“全球警戒”勢在必行的當下，高度密切關注利用VPN漏洞發動全球性網絡攻擊顯得尤為重要。 

VPN（Virtual Private Network）：在公用網絡上建立專用網絡，通過對數據包的加密和數據包目標地址的轉換實現遠程訪問，在企業政府機構遠程辦公中起著舉足輕重的地位。而這也意味著，一旦VPN漏洞被黑客利用攻擊，企業將面臨巨大威脅。 2019年，大量企業的 VPN 服務器中被指存在重大漏洞，加劇了VPN網絡安全的嚴防態勢。然而，利用VPN漏洞發動攻擊來的比預想要快，而這一次便直指全球。 

伊朗借VPN啟動“Fox Kitten”間諜計劃，全球范圍內重新布局網絡攻擊戰略

今年2月，國外某安全機構爆出一個名為“Fox Kitten”的網絡間諜計劃。報告稱：該計劃可追溯至2017年，由伊朗國家級黑客組織運作，利用未修補的虛擬專用網漏洞作為切入點，悄悄助力伊朗在世界各地政府和企業組織中獲得持久立足點。而相關“潛伏與立足”，直到報道前似乎大部分都還沒有被發現。

 而關于該“間諜計劃”，研究員評論道：“我們估計，這份報告中披露的戰役是伊朗迄今所揭示的最連續，最全面的戰役之一。” 而后還指出，伊朗APT組織的影響力與能力可能被低估了。

智庫梳理相關信息，歸納了其四大特色，發現“Fox Kitten”計劃確有其震撼之處。 

特色一：布局全球并以關鍵基礎設施為目標，滲透各國核心新基建

“Fox Kitten”網絡間諜計劃主要針對以色列組織，但也滲透到包括美國和澳大利亞在內的至少10個其他國家的目標。攻擊者在信息技術公司、公用事業提供商、國防承包商、石油公司和航空業公司中取得了立足點?？梢哉f，涵蓋了IT、電信、石油和天然氣、航空、安全領域的公司和政府機構等諸多關鍵領域。

雖然，這次計劃的主要目的是在很長一段時間內進行間諜活動和竊取信息。然而，攻擊者也將攻擊基礎設施留在原地，以便快速有效地分發破壞性惡意軟件。 

特色二：伊朗三大“APT組織”組合出擊、協調作戰

雖然是被用作偵察基礎設施，但此次“間諜計劃”動用了伊朗三大APT組織—— “Elfin”、“OilRig”和Chafer，并將其捆綁組合出擊。

Elfin是一個更加隱蔽的網絡間諜組織，主要針對美國、韓國和沙特的航空和石化目標；

OilRig的活動在很大程度上與APT33重疊，但該組織更專注于中東，并因使用虛假的LinkedIn個人資料和邀請傳遞惡意軟件；

Chafer是一個專注于竊取個人信息的組織，它建立了一個以電信和旅游業為重點的廣泛的全球網絡。

而以上三個組織還均以利用新的VPN漏洞而聞名。因而即使過去它們分散作戰、互不干擾，但此次，三大APT組織參與共同發起了這項針對全球的VPN服務器攻擊活動。

特色三：多個VPN服務器漏洞重磅出擊，令美國FBI發布警報

而在工具利用上，伊朗黑客已將Pulse Secure VPN(CVE-2019-11510)、FortinetFortiOS VPN(CVE-2018-13379)、Palo Alto NetworksVPN(CVE-2019-1579)以及Citrix VPN(CVE-2019-19781)等漏洞定位為入侵大型公司的工具。

今年1月10日，美國網絡安全和基礎設施安全局(CISA)警告企業，修補其Pulse Secure VPN服務器以防止利用漏洞CVE-2019-11510的攻擊。隨即美國聯邦調查局（FBI）也發布安全警報，指責國家級（伊朗）黑客利用Pulse Secure VPN服務器的嚴重漏洞，破壞了美國市政府和美國金融公司的網絡。

特色四：最新VPN漏洞24小時內，即可被伊朗“攻下”利用

“天下武功，唯快不破”，或許伊朗黑客組織深諳此道。所以，當新的漏洞披露之后，他們總能在幾小時內迅速地加以部署，搶在補丁發布之前，利用該漏洞對目標系統發起致命一擊。

據資料顯示，他們不僅能夠成功獲取對目標核心系統的訪問權限，丟棄其他惡意軟件，并在網絡上橫向傳播，與此同時，還特別擅長掩蓋他們的蹤跡，并在他們泄露信息時對其存在保密。 從以上四大特色來看，這項針對全球VPN服務器的Fox Kitten計劃，無疑是伊朗布局全球網絡攻擊態勢的絕佳切入點。

全球新冠疫情浪潮之下未來，VPN或將淪為網絡空間致命武器

盡管當前來看，“Fox Kitten”網絡間諜計劃被認為在執行偵察與監控，但在‘得天獨厚“的入侵優勢下，可以大膽猜測，未來“Fox Kitten”或許會將VPN漏洞武器化，進一步部署更強殺傷力的網絡攻擊。

第一，部署數據擦除惡意軟件

通常，數據擦除軟件會通過擦除用戶設備，使其無法訪問所需要的應用程序和數據，并進一步攻擊共享網絡中的文件，云服務上存儲的數據。而目前，伊朗黑客組織可能早已在相關目標上，部署了破壞公司網絡和業務運營的數據擦除惡意軟件，而此舉足以導致企業和政府的運營的停擺。

2012年，伊朗對陣沙特阿美時，曾利用Shamoon惡意軟件攻陷了石油巨頭約75%的電腦；而2019年9月，兩種新型數據擦除惡意軟件ZeroCleare和Dustman也被指與伊朗黑客有關。

第二，對企業客戶進行供應鏈攻擊

與此同時，伊朗黑客還可能利用對受感染公司的訪問權，進而對其客戶進行供應鏈攻擊。

這一推斷在FBI向美國私營部門發出的安全通告中得到了論證。通告顯示：“軟件供應鏈公司正在遭受持續攻擊，包括支持全球能源產出、傳輸和分發的工控系統的實體“。

FBI的同一警報還指出，這些攻擊中部署的惡意軟件與伊朗APT33組織先前使用的代碼之間存在關聯，強烈暗示伊朗黑客可能是這些攻擊的幕后黑手。

第三，“攻陷VPN->橫向移動”策略，發動更大范圍的攻擊

2019年12月下旬，巴林國家石油公司Bapco遭遇的一次數據擦除惡意軟件攻擊中，黑客通過VPN服務器攻擊取得了Bapco網絡的訪問權，從而將數據擦除器加載到了中央防病毒軟件中，并進一步分發到了所有計算機，而此策略正與此次報告中披露的“攻陷VPN->橫向移動”策略如出一轍。 

伊朗國家級APT，這個有著“世界頂級網絡殺器”稱號，并曾成功將沙特、阿聯酋、卡塔爾等各國油氣和石油公司系統斬于馬下的黑客組織，在面對全球網絡戰態勢的嚴峻的當下，為爭奪未來國際網絡戰場的主動權，都在擅用自身VPN攻擊優勢，謀求全球網絡安全攻防戰略的長線布局。 在全球新冠疫情肆虐、“全球警戒”的當下，不止于謹防“Fox Kitten”網絡間諜計劃，VPN作為其中遠程辦公生命體的核心血液，或許早已成為更多國家級黑客組織預利用的對象。故而，此時此刻，基于VPN建立的安全服務顯得格外重要。

原文來源：國際安全智庫