這是我們對伊朗黑客進行的密碼噴射攻擊的了解

Iranian Hackers Launch Password Spraying Attacks on US Power Grid

可以理解,伊朗與美國之間不斷升級的緊張局勢是頭條新聞。情況非常複雜,沒有人真正確定接下來會發生什麼。就目前而言,情況相對平靜,但是我們都知道,某些手指很可能會懸停在某些紅色按鈕上,我們只能希望最終會流行常識。但是,必須說,儘管現實世界的緊張局勢可能會緩解,但在網絡上,伊朗與美國之間的攻擊交流不太可能很快停止。

昨天,專注於工業控制系統(ICS)保護的網絡安全機構Dragos Inc.發布了一份報告,其中詳細介紹了11個與伊朗有聯繫的黑客組織的活動,尤其是他們對美國電網的攻擊。 。它表明,儘管由國家支持的威脅行為者往往不會吸引太多的媒體關注,但它們始終會攻擊其他國家的ICS資產。

儘管如此,必須說伊朗和美國之間的現實分歧對威脅者的活動產生了影響。 Dragos報告中討論的11個黑客組織以攻擊全球ICS系統而聞名,但專家們指出,去年,他們中的大多數將目光投向了美國以及用於發電和配電的關鍵基礎設施。

到目前為止還沒有嚴重的破壞

根據這份報告,造成停電的第一個已知惡意軟件攻擊發生在2015年12月在烏克蘭,幸運的是,沒有證據表明伊朗機組人員Dragos監控器正在安裝第二個惡意軟件攻擊。這些組織確實設法滲入了負責供電的公司網絡,並且他們竊取了一些敏感數據。但是,在這一點上,他們還沒有接近達到允許他們中斷大量家庭供電的水平。但是,這並不意味著它永遠不會發生。

請記住,我們不是在談論對帽衫和蓋伊·福克斯面具感興趣的自學成才的網絡犯罪分子。國家支持的黑客通常被稱為高級持久威脅(APT),由經驗豐富的專家組成,他們擁有幾乎無限的資源來破壞目標。德拉戈斯的專家指出,成功擊中美國電網的重要部分將極為困難,但報告中討論的伊朗APT小組的履歷表表明,他們很可能會大喊大叫。

他們通過攻擊世界各地的大型組織而聲名狼藉,他們以前的大多數目標都在石油和天然氣行業中工作,石油和天然氣行業是世界經濟的另一重要組成部分,在安全方面花費了大量現金。威脅參與者因使用供應鏈攻擊滲透網絡而聞名,一旦進入內部,他們通常會部署專門針對目標ICS系統設計的定制開發工具。但是,有時候,這並不僅僅涉及尖端的複雜性。

密碼噴射和未修補的VPN有時可能會使關鍵基礎架構暴露在外

Wired的Andy Greenberg也介紹了Dragos的報告,他專注於兩個APT的活動-Magnallium和Parisite。在整個2019年,這兩名機組人員協同工作,攻擊美國的多家電力公司以及石油和天然氣公司。

為了實現他們的目標,巴黎人小組的成員利用了目標使用的未命名虛擬專用網絡(VPN)客戶端中的漏洞。另一方面,Magnallium則使用密碼噴霧。在密碼噴射攻擊中,黑客利用用戶的電子郵件地址(在這種情況下,是電力公司的僱員),並將其與一系列簡單易用的猜測密碼結合使用,以嘗試登錄目標系統。因為有這麼多人使用簡單易懂的密碼,所以某些嘗試是成功的。

有趣的是,您不必是複雜的,由國家發起的黑客,即可利用易受攻擊的VPN或組織密碼噴射攻擊。實際上,這些技術非常嘈雜,通常只供穿著連帽衫的Guy Fawkes模仿者使用。然而,擁有大量現金和資源的兩個APT Parisite和Magnallium已決定使用它們。他們為什麼要那樣做?

因為他們認為這些攻擊將會成功。這是一個令人擔憂的想法。

除非我們談論的是零日漏洞,否則利用不安全的VPN意味著用戶或者錯誤地配置了網絡或者忽略了安全更新。正如我們已經提到的,關於密碼噴霧,這是唯一可能的,因為猜測人們的密碼並不像應該的那樣困難。換句話說,伊朗的APT將賭注犯了簡單的安全錯誤。有問題的人對美國電網的重要部分負責。

這應該為那些可能受到攻擊的組織的負責人敲響警鐘。危在旦夕,安全(物理和在線)必須成為首要任務。阻止來自國家支持的黑客的無情攻擊是不太可能的,但是負責美國電網的人們至少可以擺脫那些低調的目標。

January 10, 2020

發表評論