イランのハッカーによるパスワードスプレー攻撃について私たちが知っていること

Iranian Hackers Launch Password Spraying Attacks on US Power Grid

イランと米国の間の緊張の高まりは、当然のことながら、トップページのニュースです。状況は非常に複雑であり、次に何が起こるのか誰も本当に確信していません。今のところ、物事は比較的穏やかですが、特定の指が特定の赤いボタンの上にホバリングする可能性があることは誰もが知っています。そして、最終的には常識が勝つことを期待することしかできません。ただし、現実世界の緊張はオンラインで緩和される可能性があるが、イランと米国の間の攻撃のやり取りはすぐには停止しないと言わざるを得ない。

昨日、産業用制御システム(ICS)の保護に焦点を当てたサイバーセキュリティの組織であるDragos Inc.は、11のイラン関連ハッキンググループの活動、より具体的には米国の送電網に対する攻撃を詳述するレポートを公開しまし 。それは、彼らがあまりメディアの注目を集めない傾向があるが、国が支援する脅威アクターが他の国のICS資産を常に攻撃することを示しています。

それにもかかわらず、イランとアメリカの間の現実世界の不一致は、脅威アクターの活動に影響を与えたと言わざるを得ません。 Dragosのレポートで議論された11のハッキンググループは、世界中のICSシステムを攻撃することで知られていますが、専門家は、昨年、ほとんどが米国と発電と配電のための重要なインフラストラクチャに照準を合わせていることを指摘しました。

深刻な混乱はまだありません

レポートによると、停電を引き起こした最初の既知のマルウェア攻撃は2015年12月にウクライナで発生し、幸いなことに、イランの乗組員Dragosモニターが2番目のマルウェアを搭載していることを示唆する証拠はほとんどありません。実際、グループは電気の供給を担当する企業のネットワークに侵入し、機密データを吸い上げました。しかし、現時点では、彼らはまだ多くの世帯への電力供給を中断させるようなアクセスのレベルに達していない。しかし、これは決して起こらないという意味ではありません。

パーカーやガイフォークスのマスクを好む独学のサイバー犯罪者の話ではないことに注意してください。多くの場合、Advanced Persistent Threat(APT)と呼ばれ、国家が支援するハッキングクルーは、標的を危険にさらすために無制限のリソースを所有している経験豊富な専門家で構成されています。ドラゴスの専門家は、アメリカの送電網の重要な部分に成功することは非常に難しいだろうと指摘しましたが、レポートで議論されたイランのAPTグループの履歴書は、彼らが大声でうまくいく可能性を示唆しています。

彼らは世界中の大規模な組織を攻撃することで名声を得ており、以前のターゲットのほとんどは石油とガス産業で働いています。これは、セキュリティに多額の現金を費やす世界経済のもう1つの重要な部分です。脅威アクターは、サプライチェーン攻撃を使用してネットワークに侵入することで知られており、侵入すると、ターゲットICSシステム専用に設計されたカスタム開発ツールを展開することがよくあります。ただし、場合によっては、最先端の洗練度だけではないこともあります。

パスワードスプレーとパッチが適用されていないVPNでは、重要なインフラストラクチャが公開されることがあります。

WiredのAndy GreenbergもDragosのレポートを取り上げ、2つのAPTであるMagnalliumとParisiteの活動に注目しました。 2019年を通じて、2人の乗組員は協力して、米国のさまざまな電力会社や石油およびガス会社を攻撃しました。

Parisiteグループのメンバーは、目標を達成するために、ターゲットが使用する名前のない仮想プライベートネットワーク(VPN)クライアントの脆弱性を悪用しました。一方、マグナリウムはパスワードスプレーに頼っていました。パスワードスプレー攻撃では、ハッカーはユーザー(この場合は電力会社の従業員)の電子メールアドレスを取得し、単純で推測しやすいパスワードの選択と組み合わせて使用してログインを試みます。対象システム。非常に多くの人々がシンプルで推測しやすいパスワードを使用しているため、いくつかの試みは成功しています。

これについて興味深いのは、脆弱なVPNを悪用したり、パスワードスプレー攻撃を組織するために、洗練された国家支援のハッカーである必要はないということです。実際、これらの手法はかなりうるさく、通常はパーカーを着たGuy Fawkesのなりすまし専用です。しかし、多くの現金とリソースを備えた2つのAPTであるParisiteとMagnalliumは、それらを使用することを決定しました。なぜそうするのですか?

彼らはこれらの攻撃が成功すると思うからです。これは心配な考えです。

ゼロデイ脆弱性について話していない限り、安全でないVPNを悪用するということは、ユーザーがネットワークを誤って設定したか、セキュリティ更新を無視したことを意味します。また、パスワードスプレーに関しては、既に説明したように、人々のパスワードを推測するのはそれほど難しくないため、それは可能です。つまり、イランのAPTは、単純なセキュリティミスを犯す人々に賭けています。問題の人々は、米国の電力網の重要な部分を担当しています。

これにより、攻撃される可能性のある組織を担当する担当者に警告音が鳴ります。非常に多くのことが危険にさらされており、セキュリティ(物理的およびオンラインの両方)を優先する必要があります。国家に支援されたハッカーからの容赦ない攻撃を止めることはまずありませんが、米国の送電網の責任者は、少なくとも、そのぶら下がっている実を取り除くことができます。

January 10, 2020

返信を残す