Oto, co wiemy na temat ataków z użyciem hasła przeprowadzanych przez irańskich hakerów

Iranian Hackers Launch Password Spraying Attacks on US Power Grid

Narastające napięcie między Iranem a USA to zrozumiałe, że wiadomości na pierwszej stronie. Sytuacja jest niezwykle złożona i nikt nie jest pewien, co będzie dalej. Na razie wszystko jest względnie spokojne, ale wszyscy wiemy, że niektóre palce mogą równie dobrze unosić się nad niektórymi czerwonymi przyciskami i możemy jedynie mieć nadzieję, że w końcu zwycięży zdrowy rozsądek. Trzeba jednak powiedzieć, że chociaż rzeczywiste napięcia mogą złagodzić w Internecie, wymiana ataków między Iranem a USA raczej nie zostanie w najbliższym czasie zatrzymana.

Wczoraj Dragos Inc., zespół ds. Bezpieczeństwa cybernetycznego, który koncentruje się na ochronie przemysłowych systemów kontroli (ICS), opublikował raport opisujący działania jedenastu powiązanych z Iranem grup hakerskich, a dokładniej ich ataki na amerykańską sieć elektryczną. Pokazuje, że chociaż nie przyciągają zbyt wiele uwagi mediów, wspierani przez państwo aktorzy zagrożeń cały czas atakują aktywa ICS innych krajów.

Mimo to należy powiedzieć, że rzeczywiste nieporozumienia między Iranem a Ameryką wpłynęły na działania podmiotów grożących. Jedenaście grup hakerskich omawianych w raporcie Dragosa znane jest z atakowania systemów ICS na całym świecie, ale eksperci zauważyli, że w ubiegłym roku większość z nich skierowała swoje uwagi na USA i infrastrukturę krytyczną do wytwarzania i dystrybucji energii elektrycznej.

Na razie brak poważnych zakłóceń

Według raportu, pierwszy znany atak złośliwego oprogramowania, który spowodował zaciemnienie, miał miejsce w grudniu 2015 r. Na Ukrainie, i na szczęście niewiele dowodów sugeruje, że monitory irańskie załogi Dragos montują drugi. Grupy rzeczywiście zdołały infiltrować sieci firm odpowiedzialnych za dostarczanie energii elektrycznej i odsunęły niektóre wrażliwe dane. W tym momencie jednak muszą jeszcze zbliżyć się do osiągnięcia poziomu dostępu, który pozwoliłby im zakłócić dostawy energii elektrycznej dla dużej liczby gospodarstw domowych. Nie oznacza to jednak, że tak się nigdy nie stanie.

Pamiętaj, że nie mówimy o samoukach cyberprzestępców lubiących bluzy z kapturem i maski Guy Fawkes. Często określane jako Advanced Persistent Threats (APT), sponsorowane przez państwo załogi hakerskie składają się z doświadczonych specjalistów, którzy dysponują nielimitowanymi zasobami, aby zagrozić swoim celom. Eksperci Dragos zauważyli, że udane trafienie w istotną część amerykańskiej sieci elektrycznej będzie niezwykle trudne, ale wznowienia irańskich grup APT omówione w raporcie sugerują, że bardzo dobrze mogliby krzyczeć.

Zasłynęli sławą, atakując duże organizacje na całym świecie, a większość ich wcześniejszych celów działa w przemyśle naftowym i gazowym - kolejna istotna część światowej gospodarki, która wydaje znaczne kwoty na bezpieczeństwo. Zagrożeni są znani z tego, że wykorzystują ataki łańcucha dostaw w celu infiltracji sieci, a gdy już znajdą się w środku, często wdrażają niestandardowe narzędzia zaprojektowane specjalnie dla docelowego systemu ICS. Czasami jednak nie chodzi tylko o najnowocześniejsze wyrafinowanie.

Rozpylanie haseł i niezałatowane sieci VPN mogą czasami narażać krytyczną infrastrukturę

Wired Andy Greenberg również objęte raport Dragos', a skupił się na działalności dwóch APTS - Magnallium i Parisite. Przez cały 2019 r. Obie załogi pracowały w tandemie, atakując różne firmy elektroenergetyczne i naftowe i gazowe w USA.

Aby osiągnąć swój cel, członkowie grupy Parisite wykorzystali luki w nienazwanym kliencie Virtual Private Network (VPN) wykorzystywanym przez ich cele. Z drugiej strony Magnallium stosowało opryskiwanie hasłem. W ataku polegającym na rozpylaniu hasła hakerzy biorą adres e-mail użytkownika (w tym przypadku pracownika firmy elektroenergetycznej) i używają go w połączeniu z wyborem prostych i łatwych do odgadnięcia haseł do próby zalogowania się docelowy system. Ponieważ tak wiele osób używa prostych, łatwych do odgadnięcia haseł, niektóre próby są udane.

Co ciekawe, nie musisz być wyrafinowanym, sponsorowanym przez państwo hakerem, aby wykorzystać wrażliwą sieć VPN lub zorganizować atak polegający na łamaniu haseł. W rzeczywistości te techniki są dość hałaśliwe i zwykle są zarezerwowane dla osób podających się za facetów z kapturem Guy Fawkes. Jednak Parisite i Magnallium, dwa APT z dużą ilością gotówki i zasobów, zdecydowały się z nich skorzystać. Dlaczego mieliby to zrobić?

Ponieważ myślą, że te ataki zakończą się sukcesem. To niepokojąca myśl.

O ile nie mówimy o luce zero-day, wykorzystanie niepewnej sieci VPN oznacza, że użytkownik źle skonfigurował sieć lub zaniedbał aktualizację zabezpieczeń. A co do natryskiwania haseł, jak już wspomnieliśmy, jest to możliwe tylko dlatego, że odgadywanie haseł ludzi nie jest tak trudne, jak powinno być. Innymi słowy, irańskie APT stawiają na osoby, które popełniają proste błędy bezpieczeństwa. Osoby te są odpowiedzialne za kluczowe części amerykańskiej sieci energetycznej.

To powinno uruchomić niektóre dzwonki alarmowe dla osób odpowiedzialnych za organizacje, które mogą zostać zaatakowane. Stawką jest wiele, a bezpieczeństwo (zarówno fizyczne, jak i internetowe) musi być priorytetem. Zatrzymanie nieustannych ataków hakerów wspieranych przez państwo jest mało prawdopodobne, ale ludzie odpowiedzialni za amerykańską sieć elektryczną mogą przynajmniej pozbyć się nisko wiszących owoców.

January 10, 2020

Zostaw odpowiedź