Her er hvad vi ved om sprøjteangreb med adgangskode udført af iranske hackere

Iranian Hackers Launch Password Spraying Attacks on US Power Grid

Den eskalerende spænding mellem Iran og USA er forståeligt nok nyheder på forsiden. Situationen er ekstremt kompliceret, og ingen er virkelig sikker på, hvad der vil ske dernæst. For tiden er tingene relativt fredelige, men vi ved alle, at visse fingre meget godt kunne svæve over visse røde knapper, og vi kan kun håbe, at sund fornuft vil sejre til sidst. Det må dog siges, at selvom spændingen i den virkelige verden kan lette, online, er det usandsynligt, at udvekslingen af angreb mellem Iran og USA snart vil stoppe.

I går offentliggjorde Dragos Inc., et cybersecurity-udstyr, der fokuserer på beskyttelsen af industrielle kontrolsystemer (ICS), en rapport, der beskriver aktiviteterne fra elleve Iran-linkede hackinggrupper, og mere specifikt deres angreb mod det amerikanske elektriske net. Det viser, at selv om de har en tendens til ikke at tiltrække for megen opmærksomhed i medierne, angriber nationstøttede trusselaktører andre lands ICS-aktiver hele tiden.

På trods af dette må det siges, at uoverensstemmelser mellem den virkelige verden mellem Iran og Amerika har haft indflydelse på truslenes aktørers aktiviteter. De elleve hackinggrupper, der er drøftet i Dragos 'rapport, er kendt for at angribe ICS-systemer overalt i verden, men eksperterne bemærkede, at de fleste af dem sidste år henvendte sig til USA og den kritiske infrastruktur til produktion og distribution af elektricitet.

Ingen alvorlig forstyrrelse endnu

Ifølge rapporten skete det første kendte malware-angreb, der forårsagede en mørklægning, i december 2015 i Ukraine, og heldigvis er der ikke meget, der tyder på, at de iranske besætninger Dragos-skærme monterer den anden. Grupperne har faktisk formået at infiltrere netværk af virksomheder, der er ansvarlige for levering af elektricitet, og de har forsinket nogle følsomme data. På dette tidspunkt er de imidlertid endnu ikke kommet tæt på at nå det niveau af adgang, der ville gøre det muligt for dem at forstyrre forsyningen med elektricitet til et stort antal husstande. Dette betyder dog ikke, at det aldrig kan ske.

Husk, at vi ikke taler om selvlærte cyberkriminelle med en tilbøjelighed til hættetrøjer og Guy Fawkes-masker. Ofte henvist til avancerede vedvarende trusler (APT'er), statsstøttede hackingbesætninger består af erfarne specialister, der har næsten ubegrænsede ressourcer til at kompromittere deres mål. Dragos 'eksperter bemærkede, at det med succes at ramme en vigtig del af det amerikanske elektriske net vil være ekstremt vanskeligt, men genoptagelsen af de iranske APT-grupper, der er diskuteret i rapporten, tyder på, at de meget godt kunne være i et råb.

De har navngivet sig selv ved at angribe store organisationer over hele verden, og de fleste af deres tidligere mål arbejder i olie- og gasindustrien - en anden vigtig del af verdens økonomi, der bruger betydelige mængder kontanter på sikkerhed. Trusselaktørerne er kendt for deres brug af forsyningskædeangreb til at infiltrere et netværk, og når de først er inde, distribuerer de ofte specialudviklede værktøjer designet specifikt til det målrettede ICS-system. Nogle gange handler det dog ikke alt om avanceret raffinement.

Sprøjtning med kodeord og upatchede VPN'er kan nogle gange lade kritisk infrastruktur blive eksponeret

Wires Andy Greenberg dækkede også Dragos 'rapport, og han fokuserede på aktiviteterne i to af APT'erne - Magnallium og Parisite. I løbet af 2019 arbejdede de to besætninger i takt med at angribe forskellige elforsynings- og olie- og gasselskaber i USA.

For at nå deres mål udnyttede medlemmerne af parisittegruppen sårbarheder i en ikke navngivet Virtual Private Network (VPN) -klient, der blev brugt af deres mål. På den anden side brugte Magnallium sig til sprøjtning med kodeord. I et sprøjteangreb ved hjælp af en adgangskode tager hackerne en brugers e-mail-adresse (i dette tilfælde en medarbejder hos et elektrisk værktøjsfirma) og bruger det i kombination med et udvalg af enkle og let at gætte adgangskoder til at prøve at logge ind det målrettede system. Fordi så mange mennesker bruger enkle, nemme at gætte adgangskoder, er nogle af forsøgene vellykkede.

Det, der er interessant ved dette, er, at du ikke behøver at være en sofistikeret, statssponseret hacker for at udnytte en sårbar VPN eller organisere et password-sprøjteangreb. Faktisk er disse teknikker temmelig støjende, og de er normalt forbeholdt de hoodie-iført Guy Fawkes imittere. Alligevel har Parisite og Magnallium, to APT'er med masser af kontanter og ressourcer, besluttet at bruge dem. Hvorfor skulle de gøre det?

Fordi de tror, at disse angreb vil være succesrige. Dette er en bekymrende tanke.

Medmindre vi taler om en nul-dages sårbarhed, betyder udnyttelse af en usikker VPN, at brugeren enten har forkert konfigureret netværket eller forsømt en sikkerhedsopdatering. Og hvad angår sprøjtning af kodeord, som vi allerede har nævnt, er det kun muligt, fordi det er ikke så vanskeligt at gætte folks adgangskoder, som det burde være. Med andre ord satser de iranske APT'er på, at folk begår enkle sikkerhedsfejl. De pågældende mennesker er ansvarlige for vitale dele af USAs strømnettet.

Dette skulle modregne nogle alarmklokker for de ansvarlige for organisationer, der sandsynligvis vil blive angrebet. Der står meget på spil, og sikkerhed (både fysisk og online) skal være en prioritet. Det er usandsynligt at stoppe de nådeløse angreb fra nationstøttede hackere, men de personer, der er ansvarlige for USAs elektriske net, kan i det mindste slippe af med den lavthængende frugt.

January 10, 2020

Efterlad et Svar