中东网络战升级：伊朗Crambus间谍组织的最新动态

关键要点

• Crambus组织 正在进行旨在收集情报的长期网络入侵攻击，目标包括中东多个国家和美国。
• 在最新攻击中，Crambus盗取了文件和密码，并通过PowerShell后门监视邮件。
• 网络战环境 因伊朗和以色列的持续紧张关系而愈加复杂，使得网络攻击活动频繁发生。
• 伊朗对包括哈马斯在内的地区组织的支持加剧了网络战策略的实施。

Symantec的威胁猎手团队近期报告称，伊朗Crambus间谍组织（又名OilRig、MuddyWater、APT34）在中东一未指明的政府实施了一项长达八个月的网络入侵。这一事件证明了中东网络战的新一轮升级，对地区安全构成了更大的威胁。

在他们于10月19日发布的中，Symantec的研究人员指出，Crambus长期以来针对中东多个国家发动网络攻击，包括沙特阿拉伯、以色列、阿联酋、伊拉克、约旦、黎巴嫩、科威特、卡塔尔和土耳其，同时也把目标锁定在阿尔巴尼亚和美国。

Symantec的研究人员表示，Crambus的网络入侵主要是为了情报收集和间谍活动。近年来，该组织在初期攻击阶段增加了重社交工程的成分。Crambus上一次引起注意是因于去年针对阿尔巴尼亚政府的破坏性攻击。

“在过去几年，伊朗主要将黑客活动针对他们所认为的竞争对手，尤其是在中东地区的多个政府，” 谈到此事时，谷歌云的网络间谍分析负责人BenRead说道。“我们认为，伊朗组织，包括APT34，针对这些政府进行攻击，以便获取敏感的外交政策决策洞察。”

在最新的攻击中，Symantec的研究人员表示，Crambus盗取了文件和密码，并在一个案例中安装了PowerShell后门以监控来自Exchange服务器的电子邮件。攻击者随后通过电子邮件执行命令，并将结果转发回威胁组织。

Symantec指出，恶意活动发生在至少12台计算机上，且有证据表明攻击者在更多的计算机上部署了后门和键盘记录器。

网络战争的环境

多年来，伊朗和以色列之间的紧张关系及多场代理战争创造了适合网络战争的环境。在哈马斯于10月7日首次发动恐怖袭击后，该地区已经出现了多种网络和社交媒体事件。

早期，耶路撒冷邮报的，而红色警报应用程序也遭到攻击。在社交媒体方面，《纽约时报》报道，即便哈马斯已被微博封禁，仍通过社交媒体向人们传播信息，尤其是在Telegram上。

关于与伊朗的关联，Critical Start的网络威胁研究高级经理CallieGuenther表示，伊朗对哈马斯和其他敌视以色列的地区组织的支持表明了一种多面向的影响策略，包括多种网络操作。

“鉴于复杂的地缘政治因素，像Crambus这样的组织可能会被指派对以色列基础设施进行攻击，收集以色列军事策略的情报，或中断系统以影响物理战场，”
Guenther说道。“他们也可能针对支持以色列的国家实施网络攻击。伊朗以前就被指控实施对以色列的网络攻击。2020年，一系列网络事件，包含[伊朗企图破坏以色列水基础设施](https://www.washingtonpost.com/national-
security/intelligence-officials-say-attempted-cyberattack-on-israeli-water-
utilities-linked-to-iran/2020/05/08/f9ab0d78-9157-11ea-9e23