近日，勒索軟件組織Pay2Key在Twitter上發(fā)文聲稱上周末成功入侵了以色列最大的國防承包商——以色列航空航天工業(yè)公司（IAI），并且發(fā)布了該公司的內(nèi)部數(shù)據(jù)。據(jù)報道，近期活躍的勒索軟件組織Pay2Key已經(jīng)連環(huán)攻擊了80多家以色列公司。

　　Pay2Key首次引起業(yè)界注意是上周一，據(jù)首次發(fā)現(xiàn)Pay2Key的CheckPoint上周報道，勒索軟件組織Pay2Key在上周一發(fā)布了從英特爾公司的哈瓦那實驗室（Habana Labs）獲得的內(nèi)部文件的詳細(xì)信息，后者是一家以色列芯片初創(chuàng)公司，一年前被英特爾收購。

　　根據(jù)CheckPoint的報告，雖然Pay2Key這個名字早在6月份就已經(jīng)在加密身份服務(wù)KeyBase.io注冊，但同名的勒索軟件直到10月才開始活動。在攻擊英特爾Habana Labs實驗室得手后，人們注意到Pay2Key組織索要的贖金通常在7到9比特幣之間，折合約13.5-17.3萬美元左右，如此“低廉”的贖金價格，不禁讓人懷疑其真實動機(jī)。直到近日，Pay2Key連續(xù)攻擊80多家以色列公司之后，人們才意識到Pay2Key的攻擊具有國家黑客的意識形態(tài)色彩。

　　本周一，Pay2Key在其推文（下圖）和網(wǎng)站透露了以色列國防承包商的內(nèi)部數(shù)據(jù)，網(wǎng)絡(luò)安全專家稱這顯然是對以色列攻擊的升級。

　　CheckPoint認(rèn)為Pay2Key小組成員是伊朗人，原因是過去的贖金付款是通過Excoino進(jìn)行的，Excoino是僅提供給擁有有效伊朗電話號碼和伊朗居民身份代碼的個人的伊朗加密貨幣交易所。

　　與常規(guī)勒索軟件組織“悶聲發(fā)大財”不同，Pay2Key異常高調(diào)，上周末甚至在推特上發(fā)布了一項民意調(diào)查，詢問其粉絲哪個以色列組織的網(wǎng)絡(luò)安全防御能力最強(qiáng)：以色列衛(wèi)生部、交通部還是IAI？隨后在上周日晚上，Pay2Key又發(fā)布了一條推文，聲稱是后者（IAI）。（下圖）

　　從Pay2Key在暗網(wǎng)上公布的信息來看，該組織確實成功進(jìn)入了IAI內(nèi)部系統(tǒng)，該系統(tǒng)的內(nèi)部域名為ELTA.co.il。

　　Pay2Key還公布了大約1,000名IAI用戶的詳細(xì)信息證明其“戰(zhàn)績”。

　　泄漏的信息本身并不十分敏感，其中包括工人姓名和內(nèi)部計算機(jī)注冊表之類的信息，Pay2Key也沒有索要贖金，因此這有可能是過去發(fā)生的攻擊中獲取的數(shù)據(jù)，攻擊者很可能已經(jīng)無法訪問該系統(tǒng)。

　　但這也足以證明，在某個時段，黑客確實可以訪問IAI內(nèi)部系統(tǒng)的文件主目錄，其中包括武器研發(fā)的技術(shù)文檔和內(nèi)部數(shù)據(jù)。

　　IAI尚未做出回應(yīng)，但知情人士表示，他們目前不擔(dān)心敏感信息在泄露期間被盜。

　　作為兼營民用航空業(yè)務(wù)的國防承包商，IAI是以色列最大的國有公司，雇員人數(shù)約16,000。IAI今年上半年的收入為21億美元，反導(dǎo)系統(tǒng)、無人機(jī)和精確制導(dǎo)武器的凈利潤為4,800萬美元，主要用于出口。IAI也是以色列2024年月球探測器項目的兩家競標(biāo)公司之一。

　　網(wǎng)絡(luò)安全顧問Einat Meyron認(rèn)為，盡管Pay2Key的攻勢很猛，但也沒有必要過度恐慌：“并非每次黑客攻擊都意味著完全訪問權(quán)限。國防機(jī)構(gòu)擁有不同的網(wǎng)絡(luò)，有權(quán)使用封閉式機(jī)密系統(tǒng)的工作人員通常也不能在線訪問公共互聯(lián)網(wǎng)。Pay2Key是否可以訪問機(jī)密服務(wù)器？可悲的是，我們只能拭目以待。不過以Pay2Key這種好大喜功的行事風(fēng)格，任何漏洞或攻擊成果都會立刻被拿出來炫耀?！?/p>

　　Pay2Key由兩名以色列網(wǎng)絡(luò)安全公司，CheckPoint和Whitestream十一月首次發(fā)現(xiàn)并展開聯(lián)合研究。最初，研究者只是將Pay2Key作為頗為不斷增長的勒索軟件組織的新的一員看待。

　　勒索軟件攻擊通常有著類似的行為模式：以公司為目標(biāo)，加密和竊取文件，然后勒索贖金“釋放”文件。但是，Pay2Key顯得有些另類，索要的贖金很少，行事高調(diào)、樂于展示技能和成果。

　　CheckPoint甚至在將其溯源到伊朗之前，就在其安全報告中警告稱，攻擊者具有異于普通犯罪分子的“高級能力”。CheckPoint網(wǎng)絡(luò)情報負(fù)責(zé)人Lotem Finkelstein上周四曾透露，在過去曝光的一些案例中，Pay2Key曾設(shè)法“在一小時內(nèi)控制了整個網(wǎng)絡(luò)”，而大多數(shù)勒索軟件犯罪活動需要數(shù)小時甚至數(shù)天才能達(dá)成。

　　Finkelstein指出：“這是行業(yè)頂尖黑客才具備的技能。Pay2Key還具有所謂的‘操作安全性’（或OpSec），其覆蓋痕跡的技法令人印象深刻。這是一個新的勒索軟件團(tuán)隊，卻展示出高超的技能，這令人懷疑，他們幾乎好像不需要任何練習(xí)，就好像根本沒有學(xué)習(xí)曲線一樣?！?/p>

　　Whitestream首席執(zhí)行官Itsik Levy則認(rèn)為：“這是一個擁有先進(jìn)技能并且非常專注的團(tuán)隊，最近的連環(huán)攻擊浪潮無疑是一個里程碑，將給以色列信息安全管理方式帶來巨大沖擊和變革?！?/p>

　　而根據(jù)威脅情報公司ClearSky的報道，Pay2Key行動背后的組織似乎是伊朗政府贊助的黑客組織?？怂埂ば∝垼‵ox Kitten也被稱為Parisite和PIONEER KITTEN），通常是國家黑客組織APT33（小精靈，Magnallium）和APT34（OilRig，Greenbug）的聯(lián)合行動。

　　該攻擊者以使用各種開放源代碼和自行開發(fā)的攻擊工具而聞名，被觀察到的攻擊行為包括針對企業(yè)VPN、F5 Networks的BIG-IP應(yīng)用交付控制器（ADC）的攻擊。

　　安全研究人員發(fā)現(xiàn)，Pay2Key勒索軟件不需要與命令和控制（C＆C）服務(wù)器的連接即可運(yùn)行。

　　這些攻擊針對的漏洞包括CVE-2019-11510（Pulse Secure）、CVE-2018-13379（Fortinet FortiOS）、CVE-2018-1579（Palo Alto Networks VPN）、CVE-2019-19781（Citrix NetScaler）和CVE- 2020-5902（F5 BIG-IP）。此外，Microsoft Exchange Server和RDP賬戶也是攻擊目標(biāo)。