Вот что мы знаем о паролях, совершенных иранскими хакерами

Эскалация напряженности в отношениях между Ираном и США по понятным причинам является главной новостью. Ситуация чрезвычайно сложная, и никто не уверен, что будет дальше. Пока все относительно мирно, но мы все знаем, что определенные пальцы вполне могут зависать над определенными красными кнопками, и мы можем только надеяться, что здравый смысл возобладает в конце. Следует, однако, сказать, что, хотя напряженность в реальном мире может ослабнуть, в режиме онлайн обмен атаками между Ираном и США вряд ли прекратится в ближайшее время.

Вчера Dragos Inc., подразделение по кибербезопасности, которое сосредоточено на защите систем промышленного контроля (ICS), опубликовало отчет, в котором подробно описывается деятельность одиннадцати связанных с Ираном хакерских групп и, в частности, их атаки на американскую электрическую сеть., Это показывает, что, хотя они, как правило, не привлекают слишком много внимания средств массовой информации, поддерживаемые государством субъекты угроз постоянно атакуют активы ICS других стран.

Несмотря на это, следует сказать, что реальные разногласия между Ираном и Америкой оказали влияние на деятельность субъектов угрозы. Одиннадцать хакерских групп, обсуждаемых в отчете Драгоса, известны тем, что они атаковали системы ICS по всему миру, но эксперты отметили, что в прошлом году большинство из них указали на США и критически важную инфраструктуру для производства и распределения электроэнергии.

Серьезных сбоев пока нет

Согласно отчету, первая известная атака вредоносных программ, которая вызвала отключение электроэнергии, произошла в декабре 2015 года в Украине, и, к счастью, мало доказательств того, что иранские экипажи мониторов Dragos устанавливают вторую. Группам действительно удалось проникнуть в сети компаний, ответственных за поставку электроэнергии, и они отобрали некоторые конфиденциальные данные. На данный момент, однако, они еще не приблизились к достижению уровня доступа, который позволил бы им нарушить подачу электроэнергии для большого числа домашних хозяйств. Это не значит, что этого никогда не произойдет.

Имейте в виду, что мы не говорим о киберпреступниках-самоучках со склонностью к толстовкам и маскам Гая Фокса. Часто упоминаемые «Продвинутые постоянные угрозы» (APT), спонсируемые государством хакерские команды состоят из опытных специалистов, располагающих неограниченными ресурсами для компрометации своих целей. Эксперты Драгоса отметили, что успешное попадание на жизненно важный участок американской электрической сети будет чрезвычайно трудным, но резюме иранских групп APT, обсужденных в отчете, предполагают, что они вполне могут быть в курсе.

Они сделали себе имя, напав на крупные организации по всему миру, и большинство их предыдущих целей работают в нефтегазовой отрасли - еще одной важной части мировой экономики, которая тратит значительные средства на обеспечение безопасности. Акторы угроз известны тем, что они используют атаки по цепочке поставок для проникновения в сеть, и как только они оказываются внутри, они часто внедряют специально разработанные инструменты, разработанные специально для целевой системы ICS. Иногда, однако, это не все о передовой сложности.

Распыление паролей и непропатченные VPN иногда могут оставить уязвимыми критические инфраструктуры

Энди Гринберг из Wired также осветил доклад Драгоса, и он сосредоточился на деятельности двух APT - Magnallium и Parisite. В течение 2019 года две команды работали в тандеме, чтобы атаковать различные электрические компании и нефтегазовые компании в США.

Для достижения своей цели члены группы Parisite использовали уязвимости в неназванном клиенте виртуальной частной сети (VPN), используемом их целями. Magnallium, с другой стороны, прибегал к распылению пароля. При атаке с использованием паролей хакеры берут адрес электронной почты пользователя (в данном случае сотрудника энергокомпании) и используют его в сочетании с выбором простых и легко угадываемых паролей, чтобы попытаться войти в систему целевая система. Поскольку многие люди используют простые, легко угадываемые пароли, некоторые попытки оказываются успешными.

Интересно то, что вам не нужно быть изощренным, спонсируемым государством хакером, чтобы использовать уязвимую VPN или организовать атаку с использованием пароля. На самом деле, эти техники довольно шумные, и обычно они предназначены только для имитаторов Гая Фокса с капюшоном. Тем не менее, Parisite и Magnallium, два APT с большим количеством денег и ресурсов, решили использовать их. Почему они это сделали?

Потому что они думают, что эти атаки будут успешными. Это тревожная мысль.

Если мы не говорим об уязвимости нулевого дня, использование небезопасной VPN означает, что пользователь либо неправильно настроил сеть, либо пренебрег обновлением безопасности. А что касается распыления паролей, как мы уже упоминали, это возможно только потому, что угадать пароли людей не так сложно, как должно быть. Другими словами, иранские APT делают ставку на людей, совершающих простые ошибки безопасности. Люди, о которых идет речь, несут ответственность за жизненно важные части энергосистемы США.

Это должно вызвать тревогу у тех, кто отвечает за организации, которые могут подвергнуться нападению. На карту поставлено довольно много, и безопасность (как физическая, так и онлайн) должна быть приоритетом. Остановить беспощадные атаки со стороны поддерживаемых государством хакеров маловероятно, но люди, ответственные за электросеть США, могут, по крайней мере, избавиться от низко висящих фруктов.