美国已对与该国伊斯兰革命卫队 (IRGC) 有关联的三名伊朗人发出起诉书,指控他们涉嫌策划针对美国关键基础设施的勒索软件攻击,并制裁了多名个人和两个实体。
据报道,伊朗显然加强了针对美国及其盟国的恶意活动——利用众所周知的软件漏洞进行间谍活动、部署勒索软件、窃取金钱、数据和凭据,以及老式的选举错误信息和干预。政府和私人保安公司。 
驶入德黑兰的 Modares 高速公路景观(背景中的厄尔布尔士山脉)
美国政府机构反过来以指责、强硬的言辞、制裁作为回应,现在又对这三名伊朗人进行了更多的制裁、刑事指控和 1000 万美元的悬赏。
今天的起诉书引用了对 34 岁的 Mansour Ahmadi 的指控;45 岁的 Ahmad Khatibi Aghda,又名 Ahmad Khatibi;和 30 岁的 Amir Hossein Nickaein Ravari,又名 Amir Nikayin。根据法庭文件 [ PDF ] ,这三人被指控在美国、英国、以色列、伊朗和其他国家进行黑客攻击,以侵入“数百名受害者”的计算机系统。
指控称,这三名男子涉嫌入侵受害者的网络,并从包括政府机构、非营利组织、教育和宗教机构在内的“广泛组织”以及包括医疗保健、交通和公用事业提供商在内的关键基础设施部门窃取数据。
“作为该计划的一部分,Khatibi、Nickaein 和其他人通过对受害者的计算机系统进行加密攻击,然后拒绝受害者访问他们的系统和数据,除非他们支付赎金,”起诉书说。
Ahmadi、Khatibi 和 Nickaein 各自被控一项共谋实施计算机欺诈和与计算机有关的相关活动的罪名;一项故意损坏受保护计算机的罪名;以及一项传输与损坏受保护计算机有关的要求的罪名。
Ahmadi 还被控另一项故意损坏受保护计算机的罪名。
共谋指控最高可判处五年监禁,而故意损坏受保护计算机的指控最高可判处 10 年监禁。同时,勒索赎金的传输期限最长为 5 年,此外,这些违法行为可能面临的最高罚款为 250,000 美元或违法所得收益或损失总额的两倍,以较大者为准。
与“恐怖组织”的联系
据美国政府称,这三名男子还与伊朗伊斯兰革命卫队有关,美国认为该组织是恐怖组织,并声称该组织密谋谋杀包括前国家安全顾问约翰博尔顿在内的美国公民。
本月早些时候,Mandiant将一个新的威胁组织 APT42 命名为 IRGC 的网络间谍部门。
谷歌拥有的威胁情报公司的副总裁约翰·赫尔特奎斯特告诉The Register,起诉书“主要关注 Mandiant 一段时间以来一直追踪的伊朗演员的犯罪活动。我们认为,这些组织除了作为承包商的身份外,还可能兼职犯罪。为伊斯兰革命卫队服务。”
Hultquist 引用了骗子针对美国、加拿大、以色列、阿联酋和沙特阿拉伯的组织的“无耻、广泛的漏洞扫描操作”,并表示,除其他漏洞外,他们还寻找 VPN 和 Microsoft Exchange 中的安全漏洞。
他说:“通常情况下,他们将访问权货币化,但他们与 IRGC 的关系使他们特别危险。” “他们获得的任何访问权限都可能用于间谍活动或破坏性目的。对于大多数人来说,这个演员可能是一个犯罪问题,但如果你是正确的目标,他们会因间谍活动或破坏活动而将你交给你。”
然而,被指控的伊朗罪犯现在也有一个目标。同样在昨天:美国政府提供了高达 1000 万美元的有关 Ahmadi、Khatibi 和 Nickaein 的信息。
报酬!💰高达 1000 万美元 💰获取有关伊朗恶意#cyber演员 AHMADI、KHATIBI 和 NICKAEIN 的信息。他们瞄准了美国的关键基础设施,并破坏了美国和国外的数百个计算机网络。有小费吗?立即联系 RFJ!
——正义奖赏 (@RFJ_USA) 2022 年 9 月 14 日
但是等等,还有更多
除了刑事指控外,这三名伊朗居民是美国财政部因涉嫌与伊朗伊斯兰革命卫队有关联和相关犯罪行为(包括协助勒索软件攻击)而受到制裁的 10 人之一。
“勒索软件行为者和其他网络犯罪分子,无论其国籍或运营基地如何,都全面针对企业和关键基础设施——直接威胁到美国和其他国家的人身安全和经济,”美国财政部副部长表示。恐怖主义和金融情报布赖恩 E 纳尔逊在一份声明中。
在美国财政部对另一个组织伊朗情报与安全部及其情报部长实施制裁后不到一周,制裁就出台了。较早的制裁是为了应对针对北约成员国阿尔巴尼亚的网络攻击和其他“针对美国及其盟国的网络活动”。
根据最新的行动,国务院禁止美国居民和企业与 10 名与 IRGC 有关联的个人和两家公司开展任何业务或向其提供任何资金。
这包括 Najee Technology Hooshmand Fater LLC (Najee Technology) 和 Afkar System Yazd Company (Afkar System) 的员工和同事。Mansour Ahmadi 是 Najee Technology 的所有者、董事总经理和董事会主席。Ahmad Khatibi Aghda 是 Afkar System 的董事总经理和董事会成员。
Najee Technology 和/或 Afkar System 的其他员工和同事包括:Ali Agha-Ahmadi、Mohammad Agha Ahmadi、Mo’in Mahdavi、Aliakbar Rashidi-Barjini、Amir Hossein Nikaeen Ravari、Mostafa Haji Hosseini、Mojtaba Haji Hosseini 和 Mohammad Shakeri-Ashtijeh .
根据联邦调查局的说法,这个与 IRGC 有关联的组织至少从 2020 年开始就一直在入侵美国网络,他们的犯罪行为已被各种私人安全研究人员追踪,例如 APT 35、Charming Kitten、Nemesis Kitten、Phosphorus和 Tunnel Vision。
除其他邪恶行为外,该组织于 2021 年 2 月利用 Fortinet 漏洞攻击新泽西市,破坏其网络并在其中横向移动,创建虚假帐户,提升权限,建立持久远程访问,并部署包括 Mimikatz 和 Filezilla 在内的工具“为了助长他们的恶意活动,”国务院声称。
2021 年 3 月,一直持续到 2021 年 8 月,犯罪分子开始了他们的加密和勒索软件狂潮,尽管美联储声称他们能够在“许多情况下”在攻击造成任何伤害之前警告受害者。
“从 2021 年 9 月至今,该组织主要通过利用 Microsoft Exchange 和相关的 ProxyShell 漏洞获得对受害者网络的未经授权的访问,其中包括 2021 年 10 月的一起事件,当时他们破坏了一家为美国农村地区提供服务的电力公司的网络,并恶意使用 BitLocker 破坏操作。”
此外,财政部、联邦调查局、国家安全局、美国网络司令部、澳大利亚网络安全中心 (ACSC)、加拿大网络安全中心 (CCCS) 和英国国家网络安全中心 (NCSC) 的联合网络安全咨询强调了“创作机构评估的高级持续威胁 (APT) 参与者持续的恶意网络活动与 IRGC 有关联。”
