洛杉磯郡都會運輸局(LACMTA)3月中旬驚傳遭駭,至少700GB內部資料被竊,並迫使部分網路關閉,導致到站螢幕故障、乘客無法儲值卡片。以色列資安公司最新調查指出,這起破壞性網路攻擊的幕後黑手,正是伊朗政府支持的駭客組織。
路透報導,根據總部位於特拉維夫(Tel Aviv)的資安公司Gambit Security說法,駭客從LACMTA竊取至少700GB的電子郵件、備份與其他檔案。該公司稱是在這些遭竊數據意外暴露在網路上後,才發現了整起網攻事件。
Gambit Security 26日發布報告指出,發現資料的伺服器留下數位痕跡,與一個已知駭客行動有關,而以色列官員與研究人員先前已將該行動歸咎於德黑蘭。
伊朗駐聯合國代表團未回覆置評請求,以色列國家網路局(National Cyber Directorate)也未回應。洛杉磯交通局未回覆有關調查結果的提問。該機構上月曾發布聲明表示,正與執法機關及資安專家合作,在恢復系統上線同時持續調查。聲明指出:「追查幕後黑手是調查的一部分,我們不作任何揣測。」
自稱「米納布燕子」(Ababil of Minab)的親伊朗駭客組織宣稱犯案後,數位安全專家一直懷疑此次攻擊與伊朗有關。該組織名稱源自伊朗南部城市米納布(Minab)一所女子學校遭美軍轟炸事件,伊朗官員稱該事件造成逾175名學童與教師喪命。
美國與以色列研究人員指出,該組織的言論與行動模式,與伊朗情報單位利用「民間義警式駭客組織」作為掩護的作法相當一致。Gambit威脅情報主管塞拉(Eyal Sela)表示,外界一直假設「米納布燕子」與伊朗政府有關。他說:「我們的研究增加了支持這項假設的鑑識證據。」
Gambit由部分以色列8200部隊(Unit 8200)退役成員創立。8200部隊被視為以色列對應美國國家安全局(NSA)的情報單位。該公司表示,已將相關發現通報有關當局。
「米納布燕子」未透過網站聯絡表單回覆置評請求。美國聯邦調查局(FBI)表示,已知悉LACMTA事件,並正與合作夥伴協調應對,但拒絕進一步評論。美國網路安全暨基礎設施安全局(CISA)則未回覆置評請求。
LACMTA表示,這起入侵事件約於3月16日被發現。約兩周後,「米納布燕子」開始在網路現身,聲稱在一次具破壞性的網攻中刪除大量資料,並發布了一段影片,宣稱畫面是他們在該大眾運輸系統網路內大肆破壞的過程。儘管洛杉磯交通局表示,事件未影響列車與公車運行,但當地媒體報導,至少部分到站顯示螢幕失效,乘客也無法替交通卡儲值。
「米納布燕子」也宣稱,曾入侵南佛州Tri-Rail通勤鐵路系統、車輛追蹤公司Vyncs,以及沙烏地阿拉伯基礎建設公司Unimac。
Tri-Rail聲明證實,約一個月前曾遭駭,但稱受影響資料並不重要。Vyncs母公司Agnik表示,4月2日發現遭入侵,但拒絕說明遭竊資料性質。
Tri-Rail與Agnik均表示,FBI已介入調查。Agnik在電子郵件中指出,FBI「相當清楚這些犯罪分子是誰」。Unimac則未回覆置評請求。
Gambit Security表示,根據對其他網路外洩資料的分析,「米納布燕子」還曾入侵其他未公開身分的機構。塞拉透露,受害者包括以色列一家媒體、一所教育機構,以及土耳其一家保險經紀公司,但拒絕透露更多細節。
研究人員指出,自美國與以色列2月底對伊朗發動戰爭以來,伊朗駭客持續發動一連串網路攻擊,包括對醫療設備公司史賽克(Stryker)造成重大破壞的攻擊,以及外洩FBI局長帕特爾(Kash Patel)個人電子郵件。
美國有線電視新聞網CNN本月稍早也報導,外界懷疑伊朗駭客曾遠端竄改加油站油量顯示表。
