安全研究人员发现，有网络间谍组织针对美国、沙特阿拉伯和韩国的航空航天及能源公司下手，疑为伊朗政府相关。
 

　　APT33全球目标

　　该威胁组织被安全公司火眼命名为APT33，至少从2013年起便开始活动了。2016年年中，火眼发现了该组织针对航空产业的攻击行为，军航及民航均有涉及，与石化产品有联系的能源公司也在该组织目标范围内。

　　具体讲，这些网络间谍盯上了一家美国航空航天领域的公司，一家持有航空控股的沙特阿拉伯企业集团，一家涉及炼油和石化产品的韩国公司。最近的攻击中，黑客利用一家沙特阿拉伯石化公司的职位空缺，吸引韩国和沙特公司的雇员上钩。

　　火眼在其博客中写道：“根据我们的评估，针对沙特阿拉伯航空航天领域多家公司下手，指示出APT33可能试图获取沙特阿拉伯的军事航空航天能力情报，以增强伊朗国内航空航天能力，或支持伊朗面对沙特阿拉伯的军事及战略决策。”

　　我们认为，以沙特公司为目标，是为了获得区域竞争对手的情报;而对韩国公司下手，可能是因为韩国最近与伊朗石化产业的合作，以及韩国与沙特石化公司的联系。

　　火眼表示，该网络间谍组织去年发送了数百封鱼叉式网络钓鱼邮件。他们设置了看起来像是隶属沙特航空企业及其国际合作伙伴的多个域名，包括Alsalam飞机公司、波音和诺格航空阿拉伯公司。

　　该组织使用的恶意软件包含被火眼称之为DRPSHOT的病毒释放器、名为SHAPESHIFT的数据清除器，以及一款叫做TURNEDUP的后门。DROPSHOT之前曾被卡巴斯基分析过，当时被这家安全公司叫做StoneDrill。

　　StoneDrill被卡巴斯基关联到臭名昭著的Shamoon 2和Charming Kitten。(亦称Newscaster和NewsBeef据称在伊朗运作的一个威胁组织)

　　火眼同样将APT33关联到伊朗的依据有3个：其一，与“Nasr研究所”(据说是伊朗的“网军”)有联系;其二，攻击是在伊朗工作时段发起;其三，使用了伊朗的黑客工具。

　　伊朗似乎有多个网络间谍组织，包括 Rocket Kitten 、 Cobalt Gypsy(又名Magic Hound)和CopyKittens。

　　博客地址：

　　https://www.fireeye.com/blog/threat-research/2017/09/apt33-insights-into-iranian-cyber-espionage.html

(责任编辑：宋编辑)