过去一年,由-资助名为 Magnallium 的组织一直在监控美国的电力设施。在美国暗杀伊朗革命卫队圣城旅指挥官苏雷曼尼(Qasem Soleimani)后,伊朗随即展开报复性导弹攻击,伊朗观察家警告指出,伊朗也可能部署网络攻击,甚至以美国的关键基础设施,例如电网为锁定目标。一份新报告提供威胁的最新细节:从表面看来,伊朗骇客目前还没有能力在美国引发大停电。但早在两国紧张关系达到顶点之前,他们就一直努力获得美国电力设施网络的存取权。
9 日上午,工控系统(ICS)安全公司 Dragos 详细介绍最新揭露的骇客活动,追踪并认为这些活动是由国家资助名为 Magnallium 的骇客组织发起。此组织也被称为 APT33、“优雅小猫”(Refined Kitten)或“精灵”(Elfin),之前就认为与伊朗有关。Dragos 表示,他们观察到 Magnallium 正展开名为“密码喷洒”(Password-Spraying)的大规模攻击活动,目标是美国电力设施及石油和天然气公司。“密码喷洒”攻击能猜解数百甚至数千个不同账户的通用密码。
一个 Dragos 称为 Parister 的相关组织,显然与 Magnallium 有合作关系,Parister 组织试图透过 VPN 软件的漏洞,存取美国电力设施及油气公司。这两个组织的联合入侵行动贯穿整个 2019 年,直到今天仍在继续。
攻击关键基础设施已成常见攻击选项
Dragos 拒绝就这些活动是否导致实际入侵发表评论,不过报告明确表示,尽管进行 IT 系统调查,但他们没有看到任何迹象,表明伊朗骇客能存取可控管电网营运商或油气设施之实体设备的专业软件。特别是在电力公用事业,想透过数位手段引发大停电,需要比 Dragos 报告描述技术更复杂的手法。
尽管考量到伊朗发动反攻的可能威胁,但基础设施业者仍应密切关注可能的攻击活动,Dragos 公司创办人、美国国家安全局(NSA)关键基础设施威胁情报前分析师 Rob Lee 表示,应该考虑的不仅是各种入侵网络的新尝试,还有系统已被入侵的可能性。“我对伊朗局势的担忧,并不是我们可能看到大规模新行动出现,”Lee 表示:“我最担心的是这些团体可能已经拥有存取权限。”
Dragos 分析师 Joe Slowik 提醒,Dragos 观察到的“密码喷洒”攻击和 VPN 入侵活动并不限于电网营运商或油气公司。但他也表示,伊朗对电力设施等关键基础设施目标表现出“无比明确的兴趣”,“以如此乱枪打鸟的方式展开攻击,虽然显得有点漫无目标、草率或杂乱,但却让他们试着以相对快速和廉价的方式建立多个存取点,进而可在选择的某个点扩大延伸后续活动。”Slowik 表示,他曾是能源部(Department of Energy,DOE)事故回应小组负责人。
据报导,伊朗骇客过去曾入侵美国电力设施,这为未来攻击美国电力设施的可能行动奠定了基础,俄罗斯和中国也是如此。事实上,美国骇客在其他国家也做同样的事。原本奥巴马(Obama)-与伊朗的核子协议破裂后有些许趋缓的紧张局势,又因伊朗 7 日晚间发动导弹袭击再度加剧,这波电网探测监控之举无疑代表更新的攻击活动。
瘫痪电力设施有难度
Dragos 描述的“密码喷洒”攻击与微软类似发现相吻合。去年 11 月,微软透露,曾看到 Magnallium 照类似时间表发动“密码喷洒”攻击行动,但目标是应用在电力设施、石油和天然气设施及其他工业环境的工控系统供应商。微软当时便警告,这类“密码喷洒”攻击可能是大规模恶意破坏的首部曲,不过其他分析人士指出,也可能是锁定工业的间谍活动。
Lee 警告,尽管 Dragos 发现 Magnallium 和 Parister 探测与监控美国电网,但也不要因此引起对潜在大停电可能的恐慌。尽管伊朗对入侵工控系统表现出兴趣,但没有迹象表明成功开发了能破坏电路断路器等实体设备的工具和技术。“我没有看到他们具备对基础设施造成重大瘫痪或破坏的能力”,Lee 表示。
但这不意味着伊朗对电力设施或石油和天然气公司的入侵不值得担忧。安全公司 FireEye 的情报总监 John Hultquist 警告,多年来一直追踪以 APT33 之名现身的 Magnallium 组织,其与一连串摧毁数千台电脑的网络攻击有关,也就是专门攻击伊朗在海湾地区敌对者的“Wiper”恶意软件攻击行动。他们可能无法让关键基础设施停摆,但他们可以轻易破坏电力公用事业的电脑网络。
- Iranian Hackers Have Been ‘Password-Spraying’ the US Grid
(首图来源:pixabay)
