本周美国国土安全部才警告伊朗可能发动网络攻击以报复美国炸死军事将领,安全厂商就发现美国电网、炼油及天然气及中东国家巴林的炼油厂,先后遭到恶意程序黑入。
媒体Wired引述安全公司Dragos最新发布的报告,近日一个黑客组织近日积极活动中,研判是相传和伊朗政府有关的Magnallium,该组织又名APT33、Refined Kitten或Elfin。他们侦测到Magnallium已成功黑入美国电厂、炼油和天然气公司的网络。
研究人员相信,伊朗黑客使用一种叫“密码泼洒”(password spraying)的手法,即以特定简单而常见的密码组合,对目标企业上百或上千个账号进行破解测试,由此进入受害企业的网络。不过Dragos研究人员也发现,有另一个名为Parisite的黑客组织参与Magnallium的行动,但前者则是通过开采美国油、电公司的VPN软件漏洞入侵这些公司的内网。
事实上根据Dragos的关注,Magnallium和Parisite也是从2019年起就一直频繁活动并延续至今,而且Magnallium的攻击对象也不限于美国能源业,2018年起也曾攻击过沙特阿拉伯及韩国石化厂,及美国航天企业。
研究人员不愿说明最新的黑客活动是否导致美国企业的数据损失,不过报告指出没有迹象显示伊朗黑客已经攻入电网、油气设施的实体控制设备软件。
另一方面,沙特阿拉伯国家网络安全局旗下的国家网络安全中心(NCSC),也于本周对该国能源相关企业发出警告,因为去年12月29日巴林的国家炼油厂一名员工计算机上,侦测到一只能删除计算机数据的恶意程序,NCSC将之称为Dustman。沙国研究人员相信它是去年底一只名为ZeroCleare的变种。Dustman经由开采VPN软件漏洞借由VPN连接,取得受害公司的域名管理员帐密,最后在其内网计算机上自我复制。
ZDNet报道,过去安全界的分析显示ZeroCleare及Shamoon都是伊朗政府支持的黑客组织所为,两者一旦在受害计算机中启动,都会删除计算机硬盘中的数据。其中Shamoon曾在2012年发威,一举删光沙国一家炼油厂3.2万台计算机数据。
不过这次的Dustman似乎是伊朗黑客活动的日常,和上周美、伊外交事件没有直接关系。