Íme, mit tudunk az iráni hackerek által végrehajtott jelszószóró támadásokról
Az Irán és az Egyesült Államok közötti fokozódó feszültség érthető módon a kezdőoldal hírei. A helyzet rendkívül összetett, és senki sem tudja biztosan, hogy mi fog történni ezután. Egyelőre a helyzet viszonylag békés, de mindannyian tudjuk, hogy bizonyos ujjak nagyon jól lebeghetnek bizonyos piros gombok fölé, és csak reménykedhetünk, hogy a józan ész végül érvényesül. Meg kell azonban mondani, hogy bár a valós feszültségek enyhülhetnek online módon, a támadások cseréje Irán és az USA között valószínűtlen, hogy hamarosan megáll.
Tegnap a Dragos Inc., az ipari irányító rendszerek (ICS) védelmére összpontosító kiberbiztonsági felszerelés jelentést tett közzé, amely részletezi a tizenegy iráni kapcsolattal rendelkező hackelési csoport tevékenységét, és pontosabban az Egyesült Államok elektromos hálózatával szembeni támadásaikat. Ez azt mutatja, hogy bár általában nem vonzzák túl sok média figyelmet, a nemzet által támogatott fenyegetések szereplői folyamatosan megtámadják más országok ICS-eszközeit.
Ennek ellenére el kell mondani, hogy Irán és Amerika közötti valós nézeteltérések hatással voltak a fenyegető szereplők tevékenységére. A Dragos jelentésében tárgyalt tizenegy hacker-csoportról ismert, hogy az egész világon támadják az ICS-rendszereket, ám a szakértők megjegyezték, hogy tavaly legtöbbjük az Egyesült Államokra mutatott rá, és a villamosenergia-termelés és -elosztás kritikus infrastruktúrájára mutatott rá.
Még nincs komoly zavar
A jelentés szerint az elsõ ismert rosszindulatú programok támadása, amely az áramszünetet okozta, 2015 decemberében történt Ukrajnában, és szerencsére kevés bizonyíték utal arra, hogy az iráni Dragos-figyelõk csapata építi a másodikt. A csoportoknak valóban sikerült beszivárogniuk a villamosenergia-ellátásért felelős vállalatok hálózatait, és eloszlattak néhány érzékeny adatot. Ezen a ponton azonban még nem közelítették meg azt a hozzáférési szintet, amely lehetővé tenné számukra a sok háztartás villamosenergia-ellátásának megszakítását. Ez nem azt jelenti, hogy soha nem fordulhat elő.
Ne feledje, hogy nem az öntanult számítógépes bűnözőkről beszélünk, akik kapucnis pulóverekkel és Guy Fawkes-maszkokkal foglalkoznak. Az állam által szponzorált hackereszközökre, amelyeket gyakran továbbfejlesztett tartós fenyegetésekre (APT) hivatkoznak, tapasztalt szakemberekből áll, akiknek korlátlan források vannak a célok veszélyeztetésére. A Dragos szakértői megjegyezték, hogy az amerikai villamosenergia-hálózat létfontosságú szakaszának sikeres megrongálása rendkívül nehéz lesz, ám a jelentésben tárgyalt iráni APT-csoportok folytatása azt sugallja, hogy nagyon jól lehetnek kiáltással.
Nevezték magukat azzal, hogy támadtak nagy szervezeteket szerte a világon, és korábbi célpontjaik többsége az olaj- és gáziparban dolgozik - a világ gazdaságának egy másik létfontosságú részében, amely jelentős összeget költ a biztonságra. A fenyegetések szereplői ismertek arról, hogy az ellátási lánc támadásait behatolnak egy hálózatba, és miután beléptek a hálózatba, gyakran alkalmaznak speciálisan kifejlesztett eszközöket, amelyeket kifejezetten a megcélzott ICS rendszerhez fejlesztettek ki. Néha azonban nem az élvonalbeli kifinomultságról szól.
A jelszószórás és a nem feltöltött VPN-k néha kiteszik a kritikus infrastruktúrát
A Wired Andy Greenberg Dragos-jelentésről is beszélt, és két APT - Magnallium és Párizs - tevékenységeire összpontosított. 2019 folyamán a két legénység párhuzamosan dolgozott, hogy megtámadja az Egyesült Államokban található különféle villamosenergia-ipari és olaj- és gázipari társaságokat.
Céljuk elérése érdekében a párizsi csoport tagjai kihasználták a célpontjaik által használt, meg nem nevezett virtuális magánhálózat (VPN) kliensek sebezhetőségét. A magnállium ezzel szemben a jelszó permetezését alkalmazta. Jelszószóró támadás esetén a hackerek átveszik egy felhasználó (ebben az esetben egy villamosenergia-szolgáltató cég alkalmazottjának) e-mail címét, és az egyszerű és könnyen kitalálható jelszavak kiválasztásával kombinálva használják a bejelentkezéshez. a célzott rendszer. Mivel oly sok ember használ egyszerű, könnyen kitalálható jelszavakat, néhány kísérlet sikeres.
Érdekes ebben az, hogy nem kell kifinomult, állami támogatású hackereknek lennie a sebezhető VPN kiaknázásához vagy jelszószóró támadás megszervezéséhez. Valójában ezek a technikák nagyon zajosak, és általában a kapucnis pulcsit viselõ Guy Fawkes megszemélyesítõk számára vannak fenntartva. A Parisite és a Magnallium, két APT, sok készpénzzel és forrásokkal, úgy döntöttek, hogy ezeket használják. Miért csinálnák?
Mert azt hiszik, hogy ezek a támadások sikeresek lesznek. Ez egy aggasztó gondolat.
Hacsak nem a nulla napos biztonsági résről beszélünk, a nem biztonságos VPN kihasználása azt jelenti, hogy a felhasználó hibásan konfigurálta a hálózatot, vagy elhanyagolta a biztonsági frissítést. És ami a jelszó permetezését illeti, amint azt már említettük, ez csak azért lehetséges, mert az emberek jelszavainak kitalálása nem olyan nehéz, mint kellene. Más szavakkal, az iráni APT-k az emberek számára egyszerű biztonsági hibákat fogadnak el. A kérdéses emberek felelősek az Egyesült Államok villamosenergia-hálózatának létfontosságú részeiért.
Ennek el kell indítania néhány riasztási harangot azoknak a szervezeteknek a felelőseiben, akiket valószínűleg megtámadnak. Nagyon sok a veszélyben, és a biztonságnak (mind fizikai, mind online) prioritásnak kell lennie. Nem valószínű, hogy megállítanák a nemzet által támogatott hackerek könyörtelen támadásait, ám az USA elektromos hálózatáért felelős emberek legalább megszabadulhatnak az alacsonyan lógó gyümölcsöktől.