Dit is wat we weten over de aanvallen met wachtwoordspuiten door Iraanse hackers
De oplopende spanning tussen Iran en de VS is begrijpelijk nieuws op de voorpagina. De situatie is uiterst complex en niemand weet echt wat er gaat gebeuren. Voor nu zijn de dingen relatief vredig, maar we weten allemaal dat bepaalde vingers heel goed over bepaalde rode knoppen kunnen zweven, en we kunnen alleen maar hopen dat het gezond verstand uiteindelijk zal zegevieren. Het moet echter gezegd worden dat, hoewel de spanning in de praktijk zou kunnen verminderen, online, de uitwisseling van aanvallen tussen Iran en de VS waarschijnlijk niet snel zal stoppen.
Gisteren publiceerde Dragos Inc., een cybersecurity-outfit die zich richt op de bescherming van industriële controlesystemen (ICS), een rapport met details van de activiteiten van elf aan Iran gekoppelde hackgroepen, en meer specifiek hun aanvallen op het Amerikaanse elektriciteitsnet. Het laat zien dat, hoewel ze de neiging hebben niet te veel media-aandacht te trekken, door de natie gesteunde dreigingsactoren de ICS-middelen van andere landen voortdurend aanvallen.
Desondanks moet worden gezegd dat de echte meningsverschillen tussen Iran en Amerika een impact hebben gehad op de activiteiten van de bedreigingsactoren. De elf hackgroepen die in Dragos 'rapport zijn besproken, staan erom bekend dat ze ICS-systemen over de hele wereld aanvallen, maar de experts merkten op dat de meesten vorig jaar hun aandacht op de VS en de kritieke infrastructuur voor het genereren en distribueren van elektriciteit richtten.
Nog geen ernstige verstoring
Volgens het rapport vond de eerste bekende malware-aanval die een black-out veroorzaakte, plaats in december 2015 in Oekraïne, en gelukkig is er weinig bewijs dat suggereert dat de Iraanse bemanningen Dragos-monitoren de tweede opzetten. De groepen zijn er inderdaad in geslaagd om te infiltreren in de netwerken van bedrijven die verantwoordelijk zijn voor de levering van elektriciteit, en ze hebben een aantal gevoelige gegevens overgeheveld. Op dit moment moeten ze echter nog steeds in de buurt komen van het toegangsniveau dat hen in staat zou stellen de stroomvoorziening voor een groot aantal huishoudens te verstoren. Dit betekent echter niet dat dit nooit kan gebeuren.
Houd er rekening mee dat we het niet hebben over autodidactische cybercriminelen met een voorliefde voor hoodies en Guy Fawkes-maskers. Vaak doorverwezen naar Advanced Persistent Threats (APT's), bestaan door de staat gesponsorde hacking-teams uit ervaren specialisten die naast onbeperkte middelen hun doelen kunnen compromitteren. De experts van Dragos merkten op dat het met succes raken van een vitaal deel van het Amerikaanse elektriciteitsnet extreem moeilijk zal worden, maar de cv's van de Iraanse APT-groepen die in het rapport worden besproken, suggereren dat ze heel goed kunnen schreeuwen.
Ze hebben naam gemaakt door grote organisaties over de hele wereld aan te vallen, en de meeste van hun eerdere doelen zijn werkzaam in de olie- en gasindustrie - een ander essentieel onderdeel van de wereldeconomie dat aanzienlijke hoeveelheden geld besteedt aan beveiliging. De bedreigingsactoren staan bekend om hun gebruik van supply chain-aanvallen om een netwerk te infiltreren, en als ze eenmaal binnen zijn, implementeren ze vaak op maat ontwikkelde tools die specifiek zijn ontworpen voor het beoogde ICS-systeem. Soms gaat het echter niet alleen om geavanceerde verfijning.
Wachtwoord spuiten en niet-gepaarde VPN's kunnen kritieke infrastructuur soms blootleggen
Andy Greenberg van Wired behandelde ook het rapport van Dragos en hij concentreerde zich op de activiteiten van twee van de APT's - Magnallium en Parisite. Gedurende 2019 werkten de twee bemanningen samen om verschillende elektriciteitsbedrijven en olie- en gasbedrijven in de VS aan te vallen.
Om hun doel te bereiken, misbruikten de leden van de Parisite-groep kwetsbaarheden in een niet-benoemde Virtual Private Network (VPN) -client die door hun doelen wordt gebruikt. Magnallium daarentegen nam zijn toevlucht tot wachtwoordspuiten. In een aanval met wachtwoordspuiten nemen de hackers het e-mailadres van een gebruiker (in dit geval een medewerker van een elektriciteitsbedrijf) en gebruiken het in combinatie met een selectie van eenvoudige en gemakkelijk te raden wachtwoorden om te proberen in te loggen het beoogde systeem. Omdat zoveel mensen eenvoudige, gemakkelijk te raden wachtwoorden gebruiken, zijn sommige pogingen succesvol.
Wat hier interessant aan is, is dat je geen geavanceerde, door de staat gesponsorde hacker hoeft te zijn om een kwetsbare VPN te exploiteren of een aanval met wachtwoordbeveiliging te organiseren. In feite zijn deze technieken behoorlijk luidruchtig, en ze zijn meestal gereserveerd voor de hoodie-dragende Guy Fawkes-imitators. Toch hebben Parisite en Magnallium, twee APT's met veel geld en middelen, besloten ze te gebruiken. Waarom zouden ze dat doen?
Omdat ze denken dat deze aanvallen succesvol zullen zijn. Dit is een zorgwekkende gedachte.
Tenzij we het hebben over een zero-day kwetsbaarheid, betekent het exploiteren van een onveilige VPN dat de gebruiker het netwerk verkeerd heeft geconfigureerd of een beveiligingsupdate heeft verwaarloosd. En wat betreft het spuiten van wachtwoorden, zoals we al zeiden, het is alleen mogelijk omdat het raden van de wachtwoorden van mensen niet zo moeilijk is als zou moeten. Met andere woorden, de Iraanse APT's wedden dat mensen eenvoudige beveiligingsfouten maken. De mensen in kwestie zijn verantwoordelijk voor vitale delen van het Amerikaanse elektriciteitsnet.
Dit zou enkele alarmbellen moeten veroorzaken voor degenen die verantwoordelijk zijn voor organisaties die waarschijnlijk zullen worden aangevallen. Er staat nogal wat op het spel en beveiliging (zowel fysiek als online) moet een prioriteit zijn. Het is onwaarschijnlijk om de meedogenloze aanvallen van door de natie gesteunde hackers te stoppen, maar de mensen die verantwoordelijk zijn voor het Amerikaanse elektriciteitsnet kunnen op zijn minst het laaghangende fruit kwijt.
