在美國暗殺伊朗將軍Qasem Soleimani以及隨后進(jìn)行的報復(fù)性導(dǎo)彈襲擊之后,伊朗觀察家警告說��,該國也可能部署網(wǎng)絡(luò)攻擊���,甚至可能針對美國關(guān)鍵基礎(chǔ)設(shè)施���,例如電網(wǎng)����。一份新的報告為這種威脅的性質(zhì)提供了一些新的細(xì)節(jié):從表面上看�����,伊朗黑客目前沒有能力開始在美國造成停電。但是�,在兩國之間的緊張關(guān)系趨于緩和之前�����,他們一直在努力獲得美國電力公司的服務(wù)���。
在星期四上午,工業(yè)控制系統(tǒng)安全公司Dragos 詳細(xì)介紹了新近發(fā)現(xiàn)的黑客活動,該活動已被追蹤并歸因于一群被稱為Magnallium的政府資助的黑客���。同一小組也被稱為APT33,精致的小貓或小精靈,以前與伊朗有聯(lián)系。德拉戈斯說���,它已經(jīng)觀察到Magnallium開展了廣泛的所謂的密碼噴霧攻擊活動��,這種攻擊針對數(shù)百個甚至數(shù)千個不同的帳戶猜測一組通用密碼���,這些密碼針對美國的電力公司以及石油和天然氣公司�。
一家安全公司稱,德拉戈斯稱其為Parisite的一個相關(guān)組織顯然已經(jīng)與Magnallium合作,試圖通過利用虛擬專用網(wǎng)絡(luò)軟件中的漏洞來進(jìn)入美國的電力公司和石油天然氣公司。這兩個組織的聯(lián)合入侵活動貫穿了整個2019年��,并一直持續(xù)到今天��。
德拉戈斯拒絕評論這些活動是否導(dǎo)致實際違規(guī)����。該報告清楚地表明���,盡管對IT系統(tǒng)進(jìn)行了調(diào)查,但他們沒有跡象表明伊朗黑客可以訪問控制電網(wǎng)運(yùn)營商或油氣設(shè)施中物理設(shè)備的更為專業(yè)的軟件��。特別是在電力公司�����,以數(shù)字方式引發(fā)停電要比德拉戈斯在其報告中描述的技術(shù)復(fù)雜得多����。
但是�����,德拉戈斯的創(chuàng)始人和前國家安全局關(guān)鍵基礎(chǔ)設(shè)施威脅情報分析師羅伯·李認(rèn)為��,考慮到伊朗反擊威脅的威脅,基礎(chǔ)設(shè)施所有者仍應(yīng)注意這場運(yùn)動���。他們不僅應(yīng)該考慮破壞網(wǎng)絡(luò)的新嘗試�����,而且還應(yīng)該考慮那些系統(tǒng)已經(jīng)受到威脅的可能性���。李說:“我對伊朗局勢的擔(dān)心并不是我們會看到一些新的大型行動爆發(fā)���! “我所關(guān)心的是小組可能已經(jīng)擁有的訪問權(quán)限��������!
Dragos分析師Joe Slowik警告說����,Dragos觀察到的密碼噴霧和VPN黑客攻擊活動不僅限于電網(wǎng)運(yùn)營商或石油和天然氣�。但他還說,伊朗對包括電力公司在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)表現(xiàn)出了“絕對的興趣”����!耙赃@種普遍的方式做事,雖然看起來沒有針對性����,草率或嘈雜,但允許他們嘗試相對快速�,廉價地建立多個訪問點(diǎn)��,這些訪問點(diǎn)可以在他們選擇的時候擴(kuò)展為后續(xù)活動����, ” Slowik說�����,他曾擔(dān)任能源部事件響應(yīng)小組負(fù)責(zé)人�。
據(jù)報道����,伊朗的黑客此前曾破壞過美國的電力公司�����,為美國電力公司以及俄羅斯和中國的潛在攻擊奠定了基礎(chǔ)���。美國黑客在其他國家也是如此��。但是,隨著奧巴馬政府與伊朗達(dá)成的核協(xié)議破裂以及自從星期二晚上伊朗的導(dǎo)彈襲擊以來,美國和伊朗之間的緊張局勢有所緩和�����,這波電網(wǎng)探測浪潮將代表一個新的戰(zhàn)役��。
德拉戈斯(Dragos)描述的密碼噴霧活動與Microsoft的類似發(fā)現(xiàn)相匹配����。微軟在11月透露���,它已經(jīng)看到Magnallium在類似的時間表上進(jìn)行了密碼噴霧活動�����,但針對的是電力控制�����,石油和天然氣設(shè)施以及其他工業(yè)環(huán)境中使用的那種工業(yè)控制系統(tǒng)供應(yīng)商。微軟當(dāng)時警告說�����,這種密碼泄露活動可能是破壞活動的第一步,盡管其他分析家指出����,這也可能是針對工業(yè)間諜活動的。
Dragos拒絕分享其觀察到的巴黎人試圖利用的VPN漏洞的詳細(xì)信息��。但是ZDNet今天單獨(dú)報告說�����,伊朗黑客利用Pulse Secure或Fortinet VPN服務(wù)器中的漏洞在巴林的國家石油公司Bapco內(nèi)植入抽頭惡意軟件�����。安全公司Devcore去年的報告發(fā)現(xiàn),Pulse Secure和Fortinet的VPN以及Palo Alto Networks出售的VPN都存在漏洞��。
Lee警告說,盡管Magnallium和Parisite對電網(wǎng)進(jìn)行了探測�,但Dragos的發(fā)現(xiàn)不應(yīng)引起對潛在停電的恐慌�����。盡管伊朗表現(xiàn)出對工業(yè)控制系統(tǒng)黑客的興趣���,但沒有跡象表明成功開發(fā)出可以破壞諸如斷路器之類的物理設(shè)備的工具和技術(shù)����。Lee說:“我還沒有看到他們能夠?qū)A(chǔ)架構(gòu)造成重大破壞或破壞的任何能力�����。”
但這并不意味著伊朗對電力公司或石油天然氣公司的入侵就不會引起關(guān)注�����。安全公司FireEye的情報總監(jiān)John Hultquist曾以APT33的名稱追蹤Magnallium多年��,他警告說,入侵Magnallium常常導(dǎo)致較不復(fù)雜但嚴(yán)重的破壞行為�。該組織與破壞了數(shù)千臺計算機(jī)的網(wǎng)絡(luò)攻擊有關(guān)�����,所謂的雨刮惡意軟件操作已經(jīng)襲擊了整個海灣地區(qū)的伊朗對手�。他們可能無法關(guān)燈��,但他們可能會破壞電力公司的計算機(jī)網(wǎng)絡(luò)。
霍特奎斯特說:“我們知道他們的能力�����! “我們一次又一次地看到它們抹去了公司用來經(jīng)營業(yè)務(wù)的驅(qū)動器,業(yè)務(wù)中斷了�����,這使他們付出了巨額財富����������!
China
English
