一个与黎巴嫩真主党有联系的威胁演员称为黎巴嫩雪松,已与美国,英国,以色列,埃及,沙特阿拉伯,黎巴嫩,约旦,巴勒斯坦权力机构和阿联酋的电信运营商和互联网服务提供商的入侵有关。
为期一年的黑客活动始于2020年初,并被以色列网络安全公司Clearsky发现。
在今天发布的一份报告中,这家安全公司表示,它发现了至少250台Web服务器,这些服务器已被黎巴嫩雪松集团黑客入侵。
看来,这些攻击旨在收集情报并窃取包含敏感数据的公司数据库, ClearSky今天说。
< 34;对于电信公司,可以假定还访问了包含呼叫记录和客户私人数据的数据库,"该公司补充说。
Clearsky的研究人员说,袭击遵循一种简单的模式。黎巴嫩雪松运营商使用开源黑客工具扫描了Internet,以查找未打补丁的Atlassian和Oracle服务器,之后他们部署了利用漏洞的方法来访问服务器并安装Web Shell以便将来访问。
然后,与真主党有联系的小组使用这些Web Shell对公司的内部网络进行了攻击,并从中窃取了私人文档。
一旦他们获得了对这些系统的访问权限,攻击者就会部署Web Shell,例如ASPXSpy,Caterpillar 2,Mamad Warning和名为JSP文件浏览器的开源工具(也可以充当Web Shell)。
在内部网络上,攻击者部署了更强大的工具,名为Explosive远程访问木马(RAT),该工具专门用于数据渗透,过去也曾使用过。
Clearsky表示,他们能够将攻击与真主党的网络部门联系起来,因为Explosive RAT是一种工具,迄今为止,它一直是黎巴嫩雪松小组专用的工具。
此外,研究人员还说,攻击者在操作中犯了错误,并且经常在入侵之间重用文件。这使Clearsky可以跟踪全球的攻击并将其链接到该组。
"该操作使我们能够对[黎巴嫩] Cedar APT APT的目标进行指纹识别,并根据部门和原产国对其进行分类," Clearsky说。 "我们在全球范围内确定了254台受感染的服务器,其中有135台与我们在[a]受害人中识别的文件共享相同的哈希值。在[事件响应]调查期间建立网络。"
根据这些扫描,下面列出了该小组中一些较知名的受害者,包括沃达丰埃及公司,阿联酋阿联酋的阿联酋,沙特阿拉伯的SaudiNet和美国的Frontier Communications等。
有关危害的指标和有关攻击的更多技术细节,ClearSky Lebanese Cedar报告的PDF包含其他数据。