据外媒 Securityaffairs 报道,工业网络安全公司 Dragos 研究人员报告称,在伊朗境外运营的一个被称为 RASPITE 的网络间谍组织(又名Leafminer),一直以来瞄准美国、欧洲、中东和东亚的设施。该组织至少从 2017 年开始活跃,研究人员发现了其针对中东政府和其他类型组织的攻击活动。
上周,赛门铁克的研究人员根据对 Leafminer 组织的追踪,发布了一份关于网络间谍团队活动的详细报告,研究人员称该组织攻击活动的范围可能更广,他们发现了一份用伊朗波斯语编写的包含809个攻击目标的列表,列表按照其对地区和工业的兴趣对每个条目进行了分组,目标包括阿联酋、卡塔尔、巴林、埃及和阿富汗。这些目标的系统已被攻击者扫描。
现在 Dragos 研究人员证实了正是 RASPITE 一直瞄准攻击工业控制系统,黑客还访问了美国电力部门的业务。
黑客利用受到破坏的网站进行水坑攻击,为潜在的受害者提供感兴趣的内容。RASPITE 的攻击看起来类似于像 DYMALLOY 和 ALLANITE 的攻击,黑客通过注入网站链接以提示SMB连接,收集 Windows 凭据。然后,攻击者部署脚本来安装连接到 C&C 广告的恶意软件,然后让攻击者控制受感染的计算机。
根据Dragos的说法,即使 RASPITE 主要针对 ICS 系统,但也没有关于此类设备遭受破坏性攻击的消息。
迄今为止,RASPITE 的活动主要集中在电力部门的初始访问,虽然目标是电力设施,但目前没有迹象表明该组织具有破坏性的 ICS 攻击能力,包括像乌克兰那样的大规模停电。