美伊冲突持续发酵之时,伊朗黑客一直在“撒网”美国电网

2020-01-14 10:11:07 0 457

美伊冲突持续发酵之时,伊朗黑客一直在“撒网”美国电网。

正当美伊冲突持续激烈发酵之际,双方的争斗已然延伸至网络空间。伊朗已然对美国发动了一波波网络攻击。

1月8日,美国中情局和国土安全部发布警告称,伊朗近期除对海外美国人发动袭击之外,还可能针对美国采取网络攻击。

伊朗观察家警告说,该国也可能部署网络攻击,甚至可能针对美国关键基础设施,例如电网。



1月9日,知名工业网络安全公司Dragos在其名为《北美电力网络威胁形势》的最新报告中,指出众多网络攻击组织已瞄准了北美的电力公司。

伊朗政府资助的黑客组织Magnallium (APT33,该组织其他代号还包括Elfin、Kitten) 一直在努力试图攻击美国电力公司。

从表面上看,伊朗黑客目前没有给美国造成停电的能力。但是,在两国之间的紧张关系趋于缓和之前,他们一直在努力获得美国电力公司的服务。

Dragos 在报告中声称已经观察到 APT33 针对美国电网基础设施进行了广泛的的密码喷射攻击 (Password Spray),对美国的电力公司以及石油和天然气公司的数千个账户使用通用密码轮询猜测。

Dragos指出,一个名为Parisite相关组织显然已经与Magnallium合作,试图通过利用虚拟专用网络软件中的漏洞来进入美国的电力公司和石油天然气公司。Parisite 扮演着 APT33 “先头部队” 和侦察兵的角色。这两个组织的联合入侵活动贯穿了整个2019年,并一直持续到今天。

Dragos的安全专家李·罗伯表示:

我担心Parisite 和APT33可能已经拥有了访问权限。

虽然Dragos拒绝评论这些活动是否导致实际违规,但是该报告清楚地表明,尽管对IT系统进行了调查,但他们没有迹象表明伊朗黑客可以访问控制电网运营商或油气设施中物理设备的更为专业的软件。特别是在电力公司,以数字方式引发停电要比Dragos在其报告中描述的技术复杂得多。

但是,Dragos的创始人和前国家安全局关键基础设施威胁情报分析师罗伯·李认为,考虑到伊朗反击威胁的风险,基础设施运营商仍应密切关注黑客攻击动向。不仅应该考虑伊朗破坏网络的一些新尝试,而且还应该考虑那些系统已经受到威胁的可能性。

我对伊朗局势的担心不是一些新的重大行动的爆发,而是黑客组织可能已经取得访问权限。

Dragos分析师Joe Slowik警告说,Dragos观察到的密码喷射和VPN黑客攻击活动不仅限于电网运营商或石油和天然气。伊朗对包括电力公司在内的关键基础设施目标表现出了“绝对的兴趣”。

前能源部事件响应小组负责人Slowik表示:

攻击看起来杂乱无章,毫无针对性。但这种方式降低了成本,可以快速建立多个访问点,进行后续活动。

据报道,伊朗的黑客此前曾破坏过美国的电力公司,为其他的潜在攻击奠定了基础。美国黑客在其他国家也是如此。但是,随着奥巴马政府与伊朗达成的核协议破裂以及自从星期二晚上伊朗的导弹袭击以来,美国和伊朗之间的紧张局势有所缓和,这波电网探测浪潮将代表一个新的战役。

Dragos描述的密码喷射活动与Microsoft的类似发现相匹配。微软在11月透露,它已经看到Magnallium在类似的时间表上进行了密码喷射活动,但针对的是电力控制,石油和天然气设施以及其他工业环境中使用的那种工业控制系统供应商。微软当时警告说,这种密码泄露活动可能是破坏活动的第一步,尽管其他分析家指出,这也可能是针对工业间谍活动的。

目前,Dragos拒绝分享其观察到的Parisite试图利用的VPN漏洞的详细信息。

ZDNet今天发布报告称,伊朗黑客利用Pulse Secure或Fortinet VPN服务器中的漏洞在巴林的国家石油公司Bapco内植入恶意软件。

通过安全公司Devcore去年的报告发现,Pulse Secure和Fortinet的VPN以及Palo Alto Networks出售的VPN都存在漏洞。

Lee警告说,尽管Magnallium和Parisite对电网进行了探测,但Dragos的发现不足以引起对潜在停电的担忧。尽管伊朗表现出对工业控制系统的兴趣,但没有迹象表明 APT33 已经成功开发出可以破坏诸如断路器之类的物理设备的工具和技术。

Lee说:“我还没有看到他们拥有对基础架构造成重大破坏的任何能力。”

但这并不意味着伊朗对电力公司或石油天然气公司的入侵就不应受到引起关注。安全公司FireEye的情报总监John Hultquist曾以APT33的名称追踪 APT33 多年。

他警告说, APT33 的攻击技术往往很简单,但都会带来严重的破坏后果。例如该组织曾经破坏数千台计算机, 用 wiper 数据删除恶意软件虐遍了整个海湾地区的伊朗对手。APT33 可能无法拉下电闸,但是有能力破坏电力公司的计算机网络。

John Hultquist表示:“我们知道他们的能力。我们一次又一次地看到它们抹去了公司用来经营业务的驱动器,业务中断了,损失巨大。”

关于作者

评论0次

要评论?请先  登录  或  注册