Här är vad vi vet om lösenordssprutningsattacker utförda av iranska hackare

Den ökande spänningen mellan Iran och USA är förståeligt nyheter på första sidan. Situationen är extremt komplex, och ingen är verkligen säker på vad som kommer att hända nästa. För tillfället är saker relativt fredliga, men vi vet alla att vissa fingrar mycket väl kan sväva över vissa röda knappar, och vi kan bara hoppas att sunt förnuft kommer att råda i slutändan. Det måste emellertid sägas att även om den verkliga spänningen kan underlätta, online, är det osannolikt att utbytet av attacker mellan Iran och USA kommer att stoppa någon gång snart.

Igår publicerade Dragos Inc., en cybersäkerhetsutrustning som fokuserar på skyddet av industriella kontrollsystem (ICS), en rapport som beskriver verksamheten från elva Iran-länkade hackinggrupper, och mer specifikt deras attacker mot USA: s elektriska nät. Det visar att även om de tenderar att inte locka för mycket uppmärksamhet i media, attackerar nationstödda hotaktörer hela ländernas ICS-tillgångar hela tiden.

Trots detta måste det sägas att de verkliga meningsskiljaktigheterna mellan Iran och Amerika har påverkat hotaktörernas aktiviteter. De elva hackgrupperna som diskuteras i Dragos rapport är kända för att attackera ICS-system över hela världen, men experterna noterade att förra året riktade de flesta sina riktningar mot USA och den kritiska infrastrukturen för att generera och distribuera el.

Ingen allvarlig störning än

Enligt rapporten hände den första kända skadliga attacken som orsakade en blackout i december 2015 i Ukraina, och lyckligtvis finns det lite som tyder på att de iranska besättningarna Dragos-skärmar monterar den andra. Grupperna har verkligen lyckats infiltrera nätverken för företag som är ansvariga för att leverera el, och de har siffrat bort vissa känsliga uppgifter. På denna punkt har de emellertid ännu inte kommit nära att uppnå den åtkomstnivå som skulle göra det möjligt för dem att störa elförsörjningen för ett stort antal hushåll. Detta betyder dock inte att det aldrig kan hända.

Tänk på att vi inte talar om självlärda cyberbrottslingar med en förkärlek för hoodies och Guy Fawkes-masker. Ofta hänvisade till Advanced Persistent Threats (APTs), består statligt sponsrade hackningsbesättningar av erfarna specialister som har bredvid obegränsade resurser för att kompromissa med sina mål. Dragos experter noterade att framgångsrikt att träffa en viktig del av det amerikanska elnätet kommer att bli oerhört svårt, men återupptagningen från de iranska APT-grupperna som diskuteras i rapporten tyder på att de mycket väl kan vara med i ett skrika.

De har gjort sitt namn genom att attackera stora organisationer över hela världen, och de flesta av deras tidigare mål arbetar inom olje- och gasindustrin - en annan viktig del av världens ekonomi som spenderar betydande mängder kontanter på säkerhet. Hotaktörerna är kända för sin användning av försörjningskedjeanfall för att infiltrera ett nätverk, och när de väl är inne distribuerar de ofta specialutvecklade verktyg utformade specifikt för det riktade ICS-systemet. Ibland handlar det emellertid inte allt om banbrytande förfining.

Sprejning av lösenord och obefintliga VPN kan ibland lämna kritisk infrastruktur exponerad

Wires Andy Greenberg täckte också Dragos rapport, och han fokuserade på aktiviteterna i två av APT: erna - Magnallium och Parisite. Under hela 2019 arbetade de två besättningarna tillsammans för att attackera olika elföretag och olje- och gasföretag i USA.

För att uppnå sitt mål utnyttjade medlemmarna i gruppen Parisite sårbarheter i en icke namngiven Virtual Private Network (VPN) -klient som används av deras mål. Magnallium använde å andra sidan sprutning med lösenord. I en lösenordssprutningsattack tar hackarna e-postadressen till en användare (i detta fall en anställd hos ett elföretag) och använder den i kombination med ett urval av enkla och lätt att gissa lösenord för att försöka logga in det riktade systemet. Eftersom så många använder enkla lösenord som är lätt att gissa är några av försöken framgångsrika.

Det som är intressant med detta är att du inte behöver vara en sofistikerad, statligt sponsrad hackare för att utnyttja en sårbar VPN eller organisera ett lösenordssprutningsattack. I själva verket är dessa tekniker ganska bullriga, och de är vanligtvis reserverade för Hoodie-bär Guy Fawkes impersonators. Ändå har Parisite och Magnallium, två APT-apparater med massor av kontanter och resurser, beslutat att använda dem. Varför skulle de göra det?

Eftersom de tror att dessa attacker kommer att bli framgångsrika. Detta är en oroande tanke.

Om vi inte talar om en nolldagars sårbarhet innebär att utnyttja en osäker VPN att användaren antingen har felkonfigurerat nätverket eller försummat en säkerhetsuppdatering. Och vad gäller sprutning av lösenord, som vi nämnde redan, är det bara möjligt eftersom att gissa människors lösenord inte är så svårt som det borde vara. Med andra ord satsar de iranska APT: erna på människor som gör enkla säkerhetsfel. Människorna i fråga ansvarar för viktiga delar av USA: s kraftnät.

Detta bör sätta upp några larmklockor för de som ansvarar för organisationer som troligen kommer att attackeras. Ganska mycket står på spel, och säkerhet (både fysisk och online) måste vara en prioritering. Att stoppa de obevekliga attackerna från nationstödda hackare är osannolikt, men de personer som är ansvariga för USA: s elektriska nät kan åtminstone bli av med den låghängande frukten.