伊朗报复性网络攻击升温!伊朗黑客对美国电网发动大规模“密码喷洒”攻击

过去一年,由政府资助名为Magnallium的组织一直在监控美国的电力设施。在美国暗杀伊朗革命卫队圣城旅指挥官苏雷曼尼(Qasem Soleimani)后,伊朗随即展开报复性导弹攻击,伊朗观察家警告指出,伊朗也可能部署网络攻击,甚至以美国的关键基础设施,例如电网为锁定目标。一份新报告提供威胁的最新细节:从表面看来,伊朗黑客目前还没有能力在美国引发大停电。但早在两国紧张关系达到顶点之前,他们就一直努力获得美国电力设施网络的访问权。

9日上午,工控系统(ICS)安全公司Dragos详细介绍最新披露的黑客活动,关注并认为这些活动是由国家资助名为Magnallium的黑客组织发起。此组织也被称为APT33、“优雅小猫”(Refined Kitten)或“精灵”(Elfin),之前就认为与伊朗有关。Dragos表示,他们观察到Magnallium正展开名为“密码喷洒”(Password-Spraying)的大规模攻击活动,目标是美国电力设施及石油和天然气公司。“密码喷洒”攻击能猜解数百甚至数千个不同账户的通用密码。

一个Dragos称为Parister的相关组织,显然与Magnallium有合作关系,Parister组织试图通过VPN软件的漏洞,访问美国电力设施及油气公司。这两个组织的联合入侵行动贯穿整个2019年,直到今天仍在继续。

攻击关键基础设施已成常见攻击选项

Dragos拒绝就这些活动是否导致实际入侵发布评论,不过报告明确表示,尽管进行IT系统调查,但他们没有看到任何迹象,表明伊朗黑客能访问可管控电网运营商或油气设施之实体设备的专业软件。特别是在电力公用业务,想通过数字手段引发大停电,需要比Dragos报告描述技术更复杂的手法。

尽管考虑到伊朗发动反攻的可能威胁,但基础设施企业仍应密切关注可能的攻击活动,Dragos公司创办人、美国国家安全局(NSA)关键基础设施威胁情报前分析师Rob Lee表示,应该考虑的不仅是各种入侵网络的新尝试,还有系统已被入侵的可能性。“我对伊朗局势的担忧,并不是我们可能看到大规模新行动出现,”Lee表示:“我最担心的是这些团体可能已经拥有访问权限。”

Dragos分析师Joe Slowik提醒,Dragos观察到的“密码喷洒”攻击和VPN入侵活动并不限于电网运营商或油气公司。但他也表示,伊朗对电力设施等关键基础设施目标表现出“无比明确的兴趣”,“以如此乱枪打鸟的方式展开攻击,虽然显得有点漫无目标、草率或杂乱,但却让他们试着以相对快速和廉价的方式创建多个访问点,进而可在选择的某个点扩大延伸后续活动。”Slowik表示,他曾是能源部(Department of Energy,DOE)事故回应小组负责人。

据报道,伊朗黑客过去曾入侵美国电力设施,这为未来攻击美国电力设施的可能行动奠定了基础,俄罗斯和中国也是如此。事实上,美国黑客在其他国家也做同样的事。原本奥巴马(Obama)政府与伊朗的核子协议破裂后有些许趋缓的紧张局势,又因伊朗7日晚间发动导弹袭击再度加剧,这波电网探测监控之举无疑代表更新的攻击活动。

瘫痪电力设施有难度

Dragos描述的“密码喷洒”攻击与微软类似发现相吻合。去年11月,微软透露,曾看到Magnallium照类似时间表发动“密码喷洒”攻击行动,但目标是应用在电力设施、石油和天然气设施及其他工业环境的工控系统供应商。微软当时便警告,这类“密码喷洒”攻击可能是大规模恶意破坏的首部曲,不过其他分析人士指出,也可能是锁定工业的间谍活动。

Lee警告,尽管Dragos发现Magnallium和Parister探测与监控美国电网,但也不要因此引起对潜在大停电可能的恐慌。尽管伊朗对入侵工控系统表现出兴趣,但没有迹象表明成功开发了能破坏电路断路器等实体设备的工具和技术。“我没有看到他们具备对基础设施造成重大瘫痪或破坏的能力”,Lee表示。

但这不意味着伊朗对电力设施或石油和天然气公司的入侵不值得担忧。安全公司FireEye的情报总监John Hultquist警告,多年来一直关注以APT33之名现身的Magnallium组织,其与一连串摧毁数千台计算机的网络攻击有关,也就是专门攻击伊朗在海湾地区敌对者的“Wiper”恶意软件攻击行动。他们可能无法让关键基础设施停摆,但他们可以轻易破坏电力公用业务的计算机网络。

(首图来源:pixabay)

发表评论