TACERT台灣學術網路危機處理中心

[國際]惡名昭彰的伊朗駭客團隊將攻擊鎖定在工業控制系統

發佈日期：2019-11-20

參考位址： https://www.wired.com/story/iran-apt33-industrial-control-systems/

消息內容：

惡名昭彰的伊朗駭客團隊將攻擊鎖定在工業控制系統

新聞來源：WIRED

最近對IT網路的受害目標有一種新可能性，即伊朗的APT33正在大規模針對關鍵基礎設施進行破壞性的網路攻擊。

由於伊朗駭客將工業控制系統作為目標，專家擔心他們可能在公共事業，如精煉廠和製造中心上進行攻擊。

過去10年，伊朗駭客進行具破壞性的網路攻擊行動，在中東乃至美國掀起了一波又一波的網路攻擊，摧毀整個網際網路。但現在，伊朗最活躍的駭客組織之一似乎轉移注意力，除了標準的IT網路，他們將目標瞄準電力設施、製造業和煉油廠使用的物理控制系統。

週四，在Arlington, Virginia舉行的CyberwarCon大會上，微軟安全研究員Ned Moran提交來自該公司威脅情報小組的新發現，這些發現表明伊朗駭客組織APT33的活動發生變化。過去一年裡，微軟目睹該組織實施的所謂的“密碼噴塗”攻擊，即在數萬個組織的使用者賬號上嘗試使用幾個常用密碼進行破解。這通常被認為是一種暴力破解的駭客行為。但是在過去的兩個月裡，微軟表示APT33已經顯著地將其每月的密碼範圍縮小到大約2000個組織，同時將針對這些組織的帳號數量增加了近十倍。

微軟根據駭客試圖破解的帳號數量對這些受害目標進行排序，Ned Moran說，前25名中大約有一半是工業控制系統設備的製造商、供應商或維護廠商。微軟表示，自10月中旬以來，APT33總共瞄準數十家這樣的工業設備和軟體公司。

駭客的動機以及他們實際上破壞哪些工業控制系統仍不清楚。Ned Moran推測，該組織正在尋求一個突破攻擊點，以實施具有物理破壞性影響的網路攻擊。Ned Moran說:“他們正在追查這些生產商和控制系統製造商，但我認為他們不是最終目標。”“APT33試圖找到下游客戶，找出他們是如何工作的，以及誰在使用他們。APT33希望對使用這些控制系統的關鍵基礎設施造成一些傷害。

考慮到APT33的攻擊歷史，此轉變是一個令人不安的舉動。雖然Ned Moran說，微軟還沒有看到APT33實施破壞性網路攻擊的直接證據，而但從其間諜或偵察的行為中，可以知道至少為這些攻擊奠定基礎。Ned Moran說，該組織的入侵跡象在多次入侵中被發現，受害者後來被一種名為Shamoon的資料清除惡意軟體攻擊。McAfee去年警告說，APT33——或者一個假裝是APT33的組織，它的hedge——正在部署一個新版本的Shamoon，進行一系列破壞資料的攻擊。威脅情報公司FireEye自2017年以來一直警告稱，APT33與另一段惡意程式碼Shapeshifter有關。

Ned Moran拒絕透露APT33駭客攻擊的具體工業控制系統、ICS、公司或產品的名稱。但他警告稱，該組織針對這些控制系統的行動表明，伊朗可能尋求的不僅僅是在其網路攻擊中清除電腦，它可能希望影響實體基礎設施。這些攻擊在國家支持的駭客攻擊史上很少見，但其影響令人不安;例如，在2009年和2010年，美國和以色列聯合發布一段名為“震網”(Stuxnet)的程式碼，摧毀伊朗的核濃縮離心機。 2016年12月，俄羅斯使用了一款名為Industroyer或Crash Override的惡意軟體，導致烏克蘭首都基輔短暫停電。 2017年，不明國籍的駭客在沙烏地阿拉伯的一家煉油廠部署一款名為Triton或Trisis的惡意軟體，目的是破壞安全系統。其中一些攻擊——尤其是triton——有可能造成人身傷害，危害到目標設施內人員的安全。

伊朗從未被公開與這些ICS攻擊聯繫在一起。但微軟的新目標表明，它可能正在努力開發這些能力。Ned Moran說:“考慮到他們以前的破壞性攻擊方式，他們攻擊ICS是理所當然的。”

但是安全公司Crowdstrike的情報副總裁Adam Meyers警告說，不要對APT33新發現的重點做過多解讀。他們多專注於間諜活動。 “以集成電路為目標可能是實施破壞性攻擊的一種手段，也可能是進入許多能源公司的一種簡便方法，因為能源公司依賴這些技術，”Adam Meyers說。 “他們更有可能打開來自他們的電子郵件，或安裝來自他們的惡意軟體。”

這一潛在的升級發生在伊朗與美國關係的緊張時刻。今年6月，美國指責伊朗使用limpet地雷在Strait of Hormuz炸毀兩艘油輪，並擊落一架美國無人機。然後在9月，伊朗支持的胡塞叛軍對沙烏地阿拉伯的石油設施發動了一次無人機襲擊，導致沙烏地阿拉伯的石油產量暫時減少了一半。

Ned Moran指出，據報導，伊朗6月的攻擊在一定程度上得到美國網路司令部對伊朗情報基礎設施的攻擊的回應。事實上，6月20日下午，微軟發現APT33的密碼攻擊活動從每天數千萬次下降到零，這表明APT33的基礎設施可能受到攻擊。但Ned Moran說，大約一周後，密碼噴塗的行為恢復到正常水平。

Ned Moran將伊朗破壞性的網路攻擊與美國指責伊朗實施的物理破壞行為相提並論。這兩種手段都會破壞和恐嚇區域內的敵對勢力——如果他們的駭客能夠從單純的邏輯效果升級到實際物理效果，那麼前者會做得更多。

Ned Moran說:“他們試圖向對手傳遞資訊，並試圖迫使和改變對手的行為。”“當你看到無人駕駛飛機襲擊沙烏地阿拉伯的一個石油設施，當你看到油輪被摧毀……我的直覺告訴我，他們也想在網路上這麼做。”

回最新消息列表頁