資安公司FireEye發布Operation Saffron Rose研究報告,內容詳述疑似由伊朗網路間諜組織發起的活動。FireEye研究員將該組織命名為Ajax Security Team。2009年,該組織的攻擊活動以網站為主,至今已發展成以伊朗反對派與美國國防組織單位為目標的成熟組織。此份報告指出自2010年伊朗遭受重大網路攻擊後,Ajax的攻擊手法與伊朗境內和鄰國的進階性持續威脅(APT)組織更加一致。
「伊朗駭客組織的發展與政府壓制反對派並加強攻擊能力的策略不謀而合,」FireEye資深威脅情報分析師Nart Villeneuv表示。「除了攻擊活動日益激烈外,伊朗網路威脅組織也逐漸朝網路間諜發展。這些攻擊者的目的不再只是宣傳他們的信念,而是針對鎖定目標的機器進行詳細偵查與控制,為長期的攻擊行動鋪路。」
Operation Saffron Rose的攻擊目標包括伊朗反對派與美國國防組織單位。FireEye實驗室最近發現Ajax Security Team對美國國防產業的企業發動許多網路間諜活動。該組織也對使用Proxifier或Psiphon等翻牆軟體的伊朗用戶發動攻擊。
目前尚無法定論Ajax Security Team是獨立團體或受命於政府,不過該組織使用的惡意程式工具並無法從市面上取得,而且也非其他攻擊者所用的工具。該組織利用各種社交工程技巧引誘目標上當,再透過惡意程式感染他們的系統。雖然FireEye實驗室尚未發現Ajax Security Team對受害者使用零時差攻擊,但該組織成員曾經使用可公開取得的攻擊程式碼來破壞網站。
FireEye在分析偽裝成Proxifier或Psiphon的惡意程式時,在某命令與控制伺服器(CnC)上發現77個受害者。在分析這些受害者資料時,FireEye發現許多目標的時區都設定為伊朗標準時間,或是語言設定為波斯語。
以下是這些受害者的資料分析:
