隸屬伊朗情報與安全部(MOIS)的黑客組織 MuddyWater 自 2026 年 2 月初起已滲透多間美國企業內部網絡。受影響機構包括 1 間銀行、1 間軟件公司及 1 個機場。美國與以色列於 2 月 28 日聯合發動代號 Operation Epic Fury 軍事行動打擊伊朗,該組織活動近日明顯加劇。
網絡安全公司 Symantec 及 Carbon Black 威脅獵捕團隊追查入侵痕迹時發現一個從未曝光的後門程式 Dindoor,令外界對伊朗國家級黑客在美國關鍵基礎設施中長期潛伏能力產生高度警覺。多間國際安全機構警告伊朗極可能把網絡攻擊作為軍事報復延伸手段,涉及金融、能源、國防及交通等範疇企業均面臨前所未有威脅。
新型後門程式 Dindoor 曝光 揭示攻擊技術升級
Symantec 及 Carbon Black 威脅獵捕團隊高級情報分析師 Brigid O Gorman 透露,團隊接收第 3 方提供入侵指標(indicators of compromise)後順藤摸瓜揭發這批攻擊活動及新型惡意軟件。 研究人員在受害軟件公司以色列據點網絡中發現 Dindoor 後門程式,同一程式亦出現在美國銀行及 1 間加拿大非牟利機構系統內。
Dindoor 利用 Deno(支援 JavaScript 及 TypeScript 的安全運行環境)執行指令,並使用「Amy Cherne」名義簽發的數碼證書。研究人員亦在機場及 1 間美國非牟利機構網絡中發現另 1 個以 Python 編寫名為 Fakeset 的後門程式。Fakeset 分別使用「Amy Cherne」及「Donald Gay」名義簽發證書,後者過去曾用於簽署與 MuddyWater 相關的 Stagecomp 及 Darkcomp 惡意軟件。分析師指出重複使用證書正好印證 MuddyWater 就是這批美國網絡入侵活動幕後黑手。
銀行、機場和軟件公司以外,受影響機構涵蓋美國及加拿大非政府組織。值得關注是該受害軟件公司客戶涉及國防及航空航太產業,且在以色列設有業務據點。研究人員認為以色列業務部門才是主要攻擊目標。攻擊者亦嘗試透過 Rclone 工具將軟件公司數據外傳至 Wasabi 雲端儲存空間,目前未能確認是否成功。
MuddyWater 的歷史與運作模式
美國聯邦調查局(FBI)、美國網絡安全暨基礎設施安全局(CISA)及英國國家網絡安全中心(NCSC)早已確認 MuddyWater 隸屬伊朗情報與安全部。組織自約 2018 年起代表伊朗情報機關執行網絡行動。該組織在網絡安全業界擁有多個代號,包括 Seedworm、Static Kitten、Mango Sandstorm、Earth Vetala 及 TA450 等,自 2017 年起活躍至今。
根據 MITRE ATT&CK 框架及多間安全公司追蹤紀錄,MuddyWater 攻擊範圍橫跨中東、亞洲、非洲、歐洲及北美洲。目標涵蓋政府機構、電訊商、國防承包商、石油天然氣企業、醫療機構、大學及非政府組織。 該組織慣常以魚叉式網絡釣魚電郵(spear-phishing)或利用公開應用程式漏洞作為初始入侵途徑。O Gorman 表示團隊目前未能確定攻擊者今次事件初始入侵方式,但手法與 MuddyWater 過往行為模式一致。
技術層面上 MuddyWater 持續展現高度適應能力。Group-IB 於 2026 年 2 月發表報告披露該組織正執行代號 Operation Olalampo 網絡攻勢,針對中東、土耳其及非洲(META)地區部署多款全新惡意軟件。當中包括以 Rust 語言開發及透過 Telegram 機械人控制的後門程式 CHAR,以及下載器 GhostFetch 和 HTTP_VIP。Group-IB 分析更發現 CHAR 程式碼存在 AI 輔助開發痕迹,例如偵錯字串出現表情符號,顯示攻擊者可能利用 AI 模型協助生成部分程式碼。
中東戰事與網絡攻擊的交織升級
2026 年 2 月 28 日美國與以色列聯合發動大規模軍事行動打擊伊朗,據報伊朗最高領袖 Ayatollah Ali Khamenei 在當日空襲中身亡,多名高級官員及平民遇難。伊朗隨即以彈道飛彈和無人機向以色列及美國在海灣地區軍事及外交據點發動報復,打擊範圍涵蓋巴林、卡塔爾、科威特、約旦及阿聯酋。
網絡空間對抗同步急劇升溫。Check Point 安全研究人員於 3 月初表示自戰事爆發以來,團隊追蹤到數以百計針對以色列及中東國家聯網閉路電視(CCTV)入侵嘗試。早在 2025 年 5 月 MuddyWater 已建立網絡行動基礎設施,並在 6 月透過該設施存取 1 台載有 Jerusalem 實時閉路電視串流的受入侵伺服器。6 月 23 日伊朗向該城市發射飛彈同日,以色列當局確認伊朗正利用受入侵攝影機收集即時情報調整飛彈瞄準。
Palo Alto Networks 旗下 Unit 42 團隊觀察到自 2 月 28 日起伊朗互聯網連接降至正常水平 1% 至 4%,接近全國斷網狀態。團隊分析認為網絡中斷及伊朗領導層指揮架構嚴重受損,短期內可能削弱國內網絡攻擊力量協調能力,但分散海外行動單元和網絡代理人仍可能獨立執行攻擊任務。CloudSEK 統計顯示在 2 月 28 日至 3 月 1 日期間超過 150 宗黑客主義(hacktivist)事件在公開頻道被宣稱。
企業面對的實際威脅與應對策略
對於環球企業而言今次事件傳遞幾個關鍵訊息。伊朗國家級黑客組織已證實有能力長時間潛伏美國企業網絡中而不被發現,受影響行業遍及金融服務、軟件供應鏈、航空交通及非牟利機構。O Gorman 指出攻擊者戰事開始前已經進入美國及以色列網絡,令他們處於極危險位置隨時可以發動攻擊。
Google 威脅情報小組分析總監 John Hultquist 表示預期伊朗將針對美國、以色列及海灣合作委員會國家發動破壞性網絡攻擊,重點打擊機會目標及關鍵基礎設施。JPMorgan Chase 行政總裁 Jamie Dimon 亦向媒體表示銀行可能成為攻擊目標,指出網絡安全是銀行面臨最大風險之一。
英國 NCSC 發出警告指出雖則中東衝突目前未直接增加對英國網絡威脅,但在該地區有業務、合作夥伴或供應鏈的機構幾乎可以肯定面臨較高間接網絡威脅風險。美國 CISA 亦敦促各機構保持高度警覺,防範伊朗附屬網絡行為者對美國關鍵基礎設施潛在攻擊。
Sophos、Arctic Wolf 及 Palo Alto Networks 等多間安全公司建議企業即時採取以下防禦措施:
- 在所有遠端存取及特權帳戶強制實施多重身份驗證(MFA)
- 監察密碼噴灑(password spraying)及異常認證活動
- 審視特權存取權限並實行最小權限原則
- 為面向互聯網系統優先修補已知漏洞
- 減少工業控制系統(ICS)及 SCADA 裝置互聯網曝露面
- 制定或更新業務持續性計劃為中斷做好準備
與國防及航空航太產業有供應鏈關係企業需要格外警惕,因為今次事件受害軟件公司正屬於這類供應鏈環節。攻擊者透過入侵 1 間供應商便有機會觸及整個國防產業生態系統。企業應審視自身第 3 方風險管理框架確保供應商符合網絡安全標準要求。
AI 加持攻擊能力 未來威脅格局更趨複雜
Forrester Research 資深分析師 Allie Mellen 指出伊朗威脅行為者多年來持續針對美國及以色列,攻擊手段涵蓋關鍵基礎設施入侵、間諜活動、DDoS 攻擊、資訊戰及系統擦除攻擊(wiper attacks)。AI 供應鏈公司 Exiger 關鍵基礎設施高級副總裁 Bob Kolasky 表示伊朗伊斯蘭革命衛隊是資源豐富網絡行為者,若他們沒有利用 AI 提升攻擊能力反而才會令人驚訝。
多名專家分析指出雖然目前沒有公開證據顯示伊朗已能像中國那樣運用 AI 驅動自動化網絡攻擊代理,但伊朗在主要大國以外仍是全球最具網絡攻擊能力國家之一。Halcyon 勒索軟件研究中心追蹤到 MuddyWater 的 Operation Olalampo 行動與另一被標記為 RedKitten 活動存在戰術重疊,顯示伊朗附屬行為者之間正進行跨組織基礎設施協調。
Kolasky 亦警告若中國決定軍事層面更緊密支援伊朗,可能會在 AI 能力方面提供更多協助。衝突升級可能令伊朗有動機「傾盡所有」動用一切可用手段進行報復。他坦言 AI 驅動網絡攻擊從未在大規模場景下被真正測試過,美國關鍵基礎設施能否抵禦新型攻擊仍是未知數。
O Gorman 總結今次事件時強調即使攻擊者最初動機並非破壞性行動,像 MuddyWater 這類組織亦完全有可能因應戰局轉向,對已經入侵機構發動破壞性攻擊。這種「先潛伏、後轉向」模式代表企業平時便需要建立強韌偵測和應變能力,而非等到攻擊發生後才反應。
地緣政治緊張局勢持續加劇背景下,網絡安全已從單純技術問題演變為企業戰略層面核心議題。無論是跨國企業、金融機構還是關鍵基礎設施營運商,都需要將國家級網絡威脅納入風險管理框架,並確保防禦措施能夠跟上攻擊者不斷進化的技術。
來源:The Register