Folgendes wissen wir über die von iranischen Hackern durchgeführten Angriffe zum Versprühen von Passwörtern

Iranian Hackers Launch Password Spraying Attacks on US Power Grid

Die eskalierenden Spannungen zwischen dem Iran und den USA sind verständlicherweise Nachrichten auf der Titelseite. Die Situation ist äußerst komplex und niemand ist sich wirklich sicher, was als nächstes passieren wird. Momentan sind die Dinge relativ friedlich, aber wir alle wissen, dass bestimmte Finger sehr gut über bestimmten roten Knöpfen schweben könnten, und wir können nur hoffen, dass sich am Ende der gesunde Menschenverstand durchsetzen wird. Es muss jedoch gesagt werden, dass der Austausch von Angriffen zwischen dem Iran und den USA, während sich die realen Spannungen im Internet entspannen könnten, wahrscheinlich nicht so schnell zum Erliegen kommt.

Dragos Inc., ein Unternehmen für Cybersicherheit, das sich auf den Schutz industrieller Kontrollsysteme (ICS) konzentriert, hat gestern einen Bericht veröffentlicht, in dem die Aktivitäten von elf mit dem Iran verbundenen Hacking-Gruppen und insbesondere deren Angriffe auf das Stromnetz der USA beschrieben werden. Es zeigt, dass national unterstützte Bedrohungsakteure die ICS-Vermögenswerte anderer Länder immer wieder angreifen, obwohl sie dazu neigen, nicht zu viel Aufmerksamkeit in den Medien zu erregen.

Trotzdem muss gesagt werden, dass die realen Meinungsverschiedenheiten zwischen dem Iran und Amerika Auswirkungen auf die Aktivitäten der Bedrohungsakteure hatten. Die in Dragos 'Bericht besprochenen elf Hacking Groups sind dafür bekannt, dass sie ICS-Systeme auf der ganzen Welt angreifen. Die Experten stellten jedoch fest, dass die meisten von ihnen im vergangenen Jahr auf die USA und die kritische Infrastruktur für die Erzeugung und Verteilung von Elektrizität abzielten.

Noch keine ernsthaften Störungen

Dem Bericht zufolge ereignete sich der erste bekannte Malware-Angriff, der einen Stromausfall verursachte, im Dezember 2015 in der Ukraine, und glücklicherweise gibt es kaum Anhaltspunkte dafür, dass die iranischen Crews Dragos-Monitore den zweiten anbringen. Die Gruppen haben es tatsächlich geschafft, die Netze der für die Stromversorgung zuständigen Unternehmen zu infiltrieren, und sie haben einige sensible Daten ausgelaugt. Zu diesem Zeitpunkt müssen sie jedoch noch annähernd das Zugangsniveau erreichen, das es ihnen ermöglichen würde, die Stromversorgung für eine große Anzahl von Haushalten zu unterbrechen. Dies bedeutet jedoch nicht, dass dies niemals passieren kann.

Denken Sie daran, dass es sich nicht um autodidaktische Cyberkriminelle handelt, die eine Vorliebe für Hoodies und Guy Fawkes-Masken haben. Staatlich geförderte Hacking-Teams, die oft als Advanced Persistent Threats (APTs) bezeichnet werden, setzen sich aus erfahrenen Spezialisten zusammen, die über nahezu unbegrenzte Ressourcen verfügen, um ihre Ziele zu gefährden. Die Experten von Dragos stellten fest, dass es äußerst schwierig sein wird, einen wichtigen Abschnitt des amerikanischen Stromnetzes erfolgreich zu erreichen, aber die in dem Bericht diskutierten Resümees der iranischen APT-Gruppen legen nahe, dass sie mit einem Schrei dabei sein könnten.

Sie haben sich durch Angriffe auf große Organisationen auf der ganzen Welt einen Namen gemacht, und die meisten ihrer früheren Ziele sind in der Öl- und Gasindustrie zu finden - einem weiteren wichtigen Teil der Weltwirtschaft, der beträchtliche Summen an Bargeld für Sicherheit ausgibt. Die Bedrohungsakteure sind dafür bekannt, dass sie Supply-Chain-Angriffe einsetzen, um in ein Netzwerk einzudringen. Sobald sie sich dort befinden, setzen sie häufig speziell für das jeweilige IKS-System entwickelte Tools ein. Manchmal geht es jedoch nicht nur um modernste Raffinesse.

Durch das Besprühen von Passwörtern und nicht gepatchte VPNs bleibt manchmal die kritische Infrastruktur offen

Andy Greenberg von Wired berichtete auch über Dragos 'Bericht und konzentrierte sich auf die Aktivitäten von zwei der APTs - Magnallium und Parisite. Im Laufe des Jahres 2019 griffen die beiden Besatzungen gemeinsam verschiedene Energieversorger sowie Öl- und Gasunternehmen in den USA an.

Um dieses Ziel zu erreichen, nutzten die Mitglieder der Parisite-Gruppe Sicherheitslücken in einem von ihren Zielen verwendeten VPN-Client (Virtual Private Network) ohne Namen. Magnallium hingegen griff auf das Sprühen von Passwörtern zurück. Bei einem Kennwortsprühangriff verwenden die Hacker die E-Mail-Adresse eines Benutzers (in diesem Fall eines Mitarbeiters eines Elektrizitätsversorgungsunternehmens) in Kombination mit einer Auswahl einfacher und leicht zu erratender Kennwörter, um sich anzumelden das Zielsystem. Da so viele Leute einfache, leicht zu erratende Passwörter verwenden, sind einige der Versuche erfolgreich.

Das Interessante daran ist, dass Sie kein hoch entwickelter, staatlich geförderter Hacker sein müssen, um ein anfälliges VPN auszunutzen oder einen Angriff zum Versprühen von Passwörtern zu organisieren. Tatsächlich sind diese Techniken ziemlich laut und normalerweise den Hoodie-tragenden Guy Fawkes-Imitatoren vorbehalten. Dennoch haben Parisite und Magnallium, zwei APTs mit viel Geld und Ressourcen, beschlossen, sie einzusetzen. Warum sollten sie das tun?

Weil sie glauben, dass diese Angriffe erfolgreich sein werden. Das ist ein besorgniserregender Gedanke.

Sofern es sich nicht um eine Zero-Day-Sicherheitsanfälligkeit handelt, bedeutet die Ausnutzung eines unsicheren VPN, dass der Benutzer das Netzwerk entweder falsch konfiguriert oder ein Sicherheitsupdate vernachlässigt hat. Und was das Sprühen von Passwörtern angeht, ist dies, wie bereits erwähnt, nur möglich, weil das Erraten von Passwörtern nicht so schwierig ist, wie es sein sollte. Mit anderen Worten, die iranischen APTs setzen darauf, dass Menschen einfache Sicherheitsfehler begehen. Die betreffenden Personen sind für wichtige Teile des US-amerikanischen Stromnetzes verantwortlich.

Dies sollte einige Alarmglocken für die Verantwortlichen von Organisationen auslösen, die wahrscheinlich angegriffen werden. Es steht eine Menge auf dem Spiel, und Sicherheit (sowohl physisch als auch online) muss Priorität haben. Es ist unwahrscheinlich, dass die unerbittlichen Angriffe von Hackern, die von der Nation unterstützt werden, gestoppt werden, aber die Verantwortlichen für das Stromnetz der USA können zumindest die niedrig hängenden Früchte loswerden.

January 10, 2020

Antworten