这是我们对伊朗黑客进行的密码喷射攻击的了解

Iranian Hackers Launch Password Spraying Attacks on US Power Grid

可以理解,伊朗与美国之间不断升级的紧张局势是头条新闻。情况非常复杂,没有人真正确定接下来会发生什么。就目前而言,情况相对平静,但是我们都知道,某些手指很可能会悬停在某些红色按钮上,我们只能希望最终会流行常识。但是,必须说,尽管现实世界的紧张局势可能会缓解,但在网络上,伊朗与美国之间的攻击交流不太可能很快停止。

昨天,专注于工业控制系统(ICS)保护的网络安全机构Dragos Inc.发布了一份报告,其中详细介绍了11个与伊朗有联系的黑客组织的活动,尤其是他们对美国电网的攻击。 。它表明,尽管由国家支持的威胁行为者往往不会吸引太多的媒体关注,但它们始终会攻击其他国家的ICS资产。

尽管如此,必须说伊朗和美国之间的现实分歧对威胁者的活动产生了影响。 Dragos报告中讨论的11个黑客组织以攻击全球ICS系统而闻名,但专家们指出,去年,他们中的大多数将目光投向了美国以及用于发电和配电的关键基础设施。

到目前为止还没有严重的破坏

根据这份报告,造成停电的第一个已知恶意软件攻击发生在2015年12月在乌克兰,幸运的是,没有证据表明伊朗机组人员Dragos监控器正在安装第二个恶意软件攻击。这些组织确实设法渗入了负责供电的公司网络,并且他们窃取了一些敏感数据。但是,在这一点上,他们还没有接近达到允许他们中断大量家庭供电的水平。但是,这并不意味着它永远不会发生。

请记住,我们不是在谈论对帽衫和盖伊·福克斯面具感兴趣的自学成才的网络犯罪分子。国家支持的黑客通常被称为高级持久威胁(APT),由经验丰富的专家组成,他们拥有几乎无限的资源来破坏目标。德拉戈斯的专家指出,成功击中美国电网的重要部分将极为困难,但报告中讨论的伊朗APT小组的履历表表明,他们很可能会大喊大叫。

他们通过攻击世界各地的大型组织而声名狼藉,他们以前的大多数目标都在石油和天然气行业中工作,石油和天然气行业是世界经济的另一重要组成部分,在安全方面花费了大量现金。威胁参与者因使用供应链攻击渗透网络而闻名,一旦进入内部,他们通常会部署专门针对目标ICS系统设计的定制开发工具。但是,有时候,这并不仅仅涉及尖端的复杂性。

密码喷射和未修补的VPN有时可能会使关键基础架构暴露在外

Wired的Andy Greenberg也介绍了Dragos的报告,他专注于两个APT的活动-Magnallium和Parisite。在整个2019年,这两名机组人员协同工作,攻击美国的多家电力公司以及石油和天然气公司。

为了实现他们的目标,巴黎人小组的成员利用了目标使用的未命名虚拟专用网络(VPN)客户端中的漏洞。另一方面,Magnallium则使用密码喷雾 。在密码喷雾攻击中,黑客利用用户的电子邮件地址(在这种情况下,是电力公司的雇员),并将其与一系列简单易用的猜测密码结合使用,以尝试登录目标系统。因为有这么多人使用简单易懂的密码,所以某些尝试是成功的。

有趣的是,您不必是复杂的,由国家发起的黑客,即可利用易受攻击的VPN或组织密码喷射攻击。实际上,这些技术非常嘈杂,通常只供穿着连帽衫的Guy Fawkes模仿者使用。然而,拥有大量现金和资源的两个APT Parisite和Magnallium已决定使用它们。他们为什么要那样做?

因为他们认为这些攻击将会成功。这是一个令人担忧的想法。

除非我们谈论的是零日漏洞,否则利用不安全的VPN意味着用户或者错误地配置了网络或者忽略了安全更新。正如我们已经提到的,关于密码喷雾,这是唯一可能的,因为猜测人们的密码并不像应该的那样困难。换句话说,伊朗的APT将赌注犯了简单的安全错误。有问题的人对美国电网的重要部分负责。

这应该为那些可能受到攻击的组织的负责人敲响警钟。危在旦夕,安全(物理和在线)必须成为首要任务。阻止来自国家支持的黑客的无情攻击是不太可能的,但是负责美国电网的人们至少可以摆脱那些低调的目标。

January 10, 2020

发表评论