今日頭條
官方微信
官方抖音
資訊頻道【導(dǎo)讀】前段時(shí)間,在弗吉尼亞州阿靈頓舉行的CyberwarCon會(huì)議上,有安全研究專家指出,伊朗黑客組織APT33活動(dòng)及攻擊目標(biāo)發(fā)生變化,將攻擊重點(diǎn)從IT網(wǎng)絡(luò)轉(zhuǎn)移到包括電力、制造和煉油廠等在內(nèi)的工業(yè)控制系統(tǒng)。雖然還沒有直接證據(jù),但綜合考慮到APT33的歷史以及美伊之間持續(xù)發(fā)生的網(wǎng)絡(luò)戰(zhàn)爭,APT33攻擊目標(biāo)向關(guān)鍵基礎(chǔ)設(shè)施轉(zhuǎn)移不得不引起我們持續(xù)性關(guān)注。
伊朗APT組織活動(dòng)發(fā)生變化
工業(yè)控制系統(tǒng)成其重點(diǎn)攻擊目標(biāo)
前段時(shí)間,在弗吉尼亞州阿靈頓舉行的CyberwarCon會(huì)議上,安全研究員內(nèi)德·莫蘭(Ned Moran)表示:伊朗黑客組織APT33(也稱為Elfin,Refined Kitten和Holmium)的活動(dòng)發(fā)生了變化:
據(jù)持續(xù)性觀察,APT33一直在進(jìn)行所謂的密碼噴灑(Password spraying)攻擊,尤其在過去一年,這些攻擊在成千上萬個(gè)組織的用戶帳戶中僅嘗試了幾種通用密碼。可以說,這是粗暴且不加區(qū)別的攻擊。
但在過去兩個(gè)月中,APT33已將其密碼噴灑范圍大大縮小到每月約2,000個(gè)組織,與此同時(shí),針對(duì)每個(gè)組織的帳戶數(shù)量卻平均增加了近十倍。
更為值得注意的是,把這些黑客試圖破解的帳戶進(jìn)行排名,發(fā)現(xiàn)在黑客嘗試入侵的25個(gè)頂級(jí)組織中有一半是工業(yè)控制系統(tǒng)設(shè)備的制造商、供應(yīng)商或維護(hù)商。據(jù)該研究員會(huì)上介紹,自10月中旬以來,僅近一個(gè)月時(shí)間,APT33已經(jīng)瞄準(zhǔn)了數(shù)十家工業(yè)設(shè)備和軟件公司。
不止如此,外媒還報(bào)道,本月早些時(shí)候APT33一直在使用大約12臺(tái)實(shí)時(shí)指揮和控制(C&C)服務(wù)器,針對(duì)中東、美國和亞洲進(jìn)行攻擊。而去年,APT33加大了對(duì)波斯灣各種公司的攻擊,其中包括能源公司。此外,國外某高級(jí)威脅研究小組還表示:APT33是Shamoon惡意軟件攻擊的罪魁禍?zhǔn)祝摴粼?012年襲擊了沙特石油巨頭Aramco的服務(wù)器。
網(wǎng)絡(luò)攻擊再次與物理世界相結(jié)合
獲取系統(tǒng)權(quán)限實(shí)為對(duì)關(guān)鍵設(shè)施物理性打擊
目前尚不清楚APT33是否破解了他們?cè)噲D入侵的系統(tǒng)。但莫蘭特別警告,該黑客組織的最終目標(biāo)應(yīng)是試圖獲得對(duì)系統(tǒng)的訪問權(quán)限,以便對(duì)關(guān)鍵基礎(chǔ)設(shè)施(例如能源基礎(chǔ)設(shè)施)進(jìn)行破壞性的物理攻擊。
“黑客組織正在追捕這些控制系統(tǒng)的生產(chǎn)商和制造商,但我認(rèn)為這不是他們的最終目標(biāo),我想應(yīng)該是通過瞄準(zhǔn)工控系統(tǒng),從而試圖尋找下游客戶,以了解這些下游客戶的工作方式以及使用這些設(shè)備的人,最終給使用這些控制系統(tǒng)的關(guān)鍵基礎(chǔ)設(shè)施帶來一些麻煩。”
此外,該研究員還特別強(qiáng)調(diào),這不僅僅是間諜活動(dòng)或偵察,因?yàn)樗呀?jīng)看到了至少該組織為這些攻擊打下基礎(chǔ)的事件:據(jù)相關(guān)資料顯示,APT33黑客組織的指紋出現(xiàn)在多次入侵中,后來受害者被一種名為Shamoon的數(shù)據(jù)擦除惡意軟件擊中。美一家大型安全技術(shù)公司,在去年則警告稱,APT33(或一個(gè)被其對(duì)沖的假裝為APT33的組織)正在通過一系列破壞數(shù)據(jù)的攻擊部署Shamoon的新版本
這里智庫想特別強(qiáng)調(diào)一下,當(dāng)以網(wǎng)絡(luò)戰(zhàn)為準(zhǔn)的網(wǎng)絡(luò)攻擊運(yùn)用到物理世界里,尤其是以工控系統(tǒng)為主的關(guān)鍵基礎(chǔ)設(shè)施中,幾年前“知名事件”的后果,永遠(yuǎn)應(yīng)警鐘長鳴。
2009年和2010年,美國和以色列共同啟動(dòng)了一條名為Stuxnet的代碼,該代碼摧毀了伊朗核濃縮離心機(jī),讓其核計(jì)劃瞬間“流產(chǎn)”。
2016年12月,俄羅斯使用一種稱為Industroyer或Crash Override的惡意軟件,在烏克蘭首都基輔短暫斷電。
2017年,身份不明的黑客在沙特阿拉伯一家煉油廠部署了一種名為Triton或Trisis的惡意軟件,旨在禁用安全系統(tǒng)。而這些攻擊方式,特別是Triton攻擊,有可能造成身體混亂,直接威脅目標(biāo)設(shè)施內(nèi)部人員的安全。
美伊關(guān)系緊張加劇,APT33持續(xù)升級(jí)
網(wǎng)絡(luò)戰(zhàn)成為國與國博弈重要手段
過去,APT33主要針對(duì)沙特阿拉伯和美國。在美國總統(tǒng)特朗普宣布,美國退出伊朗核協(xié)議后,伊朗情報(bào)和安全機(jī)構(gòu)進(jìn)行了一系列改革,改組后伊朗革命衛(wèi)隊(duì)的軍銜和聲望有所提高,派出了更多的鷹派官員,襲擊也變得更加頻繁,而APT33的力量也跟隨著不斷增強(qiáng)。
此外,APT33的潛在升級(jí)也正是在伊美關(guān)系緊張的時(shí)刻發(fā)生的。
今年6月-9月,美伊在網(wǎng)絡(luò)戰(zhàn)上持續(xù)的你來我往。
而此處,想重點(diǎn)提及的是,今年6月20日下午,APT33的密碼噴灑活動(dòng)從每天數(shù)以千萬計(jì)的攻擊嘗試下降到零,這表明APT33的基礎(chǔ)結(jié)構(gòu)可能受到了打擊。
而這次事件與《紐約時(shí)報(bào)》曾援引美國一位高級(jí)官員的話,爆料:今年6月,美網(wǎng)軍就對(duì)伊朗發(fā)動(dòng)了網(wǎng)絡(luò)攻擊,摧毀了伊朗革命衛(wèi)隊(duì)使用的一個(gè)關(guān)鍵數(shù)據(jù)庫,這一事件時(shí)間點(diǎn)不謀而合。
可以說,此次的爆料再次有利地佐證了網(wǎng)絡(luò)戰(zhàn)已經(jīng)成為當(dāng)今國與國博弈的重要手段,網(wǎng)絡(luò)戰(zhàn)正在成為當(dāng)今國與國之間最主要的作戰(zhàn)方式。該事件的匯報(bào)者莫蘭就感慨到:
“他們正在試圖向?qū)κ謧鬟_(dá)信息,并試圖強(qiáng)迫和改變他們的行為。當(dāng)您看到無人駕駛飛機(jī)襲擊沙特阿拉伯的一個(gè)提取設(shè)施時(shí),當(dāng)您看到油輪被摧毀時(shí)……我的直覺說他們想在網(wǎng)絡(luò)上做同樣的事情。”
其他資料:關(guān)于APT33組織的介紹
關(guān)于APT33的相關(guān)活動(dòng),智庫也做了一些簡單整理,供感興趣的小伙伴查閱:
APT33是伊朗國家級(jí)黑客組織。該組織針對(duì)的是美國、沙特阿拉伯和韓國的多個(gè)行業(yè),其中尤其關(guān)注航空和能源領(lǐng)域。
有安全研究機(jī)構(gòu)認(rèn)為,APT33被發(fā)現(xiàn)于2012年,并認(rèn)為APT33是開發(fā)出名為Shamoon(DistTrack)的磁盤擦除惡意軟件的組織。Shamoon惡意代碼曾在2012年攻擊過沙特阿拉伯Aramco國家石油公司和卡塔爾Rasgas天然氣公司,并在2012年摧毀了沙特阿拉伯的Saudi Aramco油氣公司超過35,000個(gè)工作站。此后又肆虐了歐洲和中東。
此外,還有資料顯示,APT33于2015年底或2016年初首次活躍。該組織專門研究掃描易受攻擊的網(wǎng)站,并使用它來識(shí)別潛在目標(biāo),以攻擊或創(chuàng)建命令與控制(C&C)基礎(chǔ)結(jié)構(gòu)。該組織的目標(biāo)包括政府以及研究,化學(xué),工程,制造,咨詢,金融,電信和其他多個(gè)部門的組織。
從2016年中至2017年初,APT33入侵了美國一家航空航天領(lǐng)域的組織,并試圖攻擊一個(gè)位于沙特阿拉伯的一家擁有航空控股的企業(yè)。與此同時(shí),APT33還針對(duì)韓國的與石油化工有關(guān)的公司發(fā)起過攻擊。
2017年5月,APT33試圖入侵一些沙特阿拉伯和韓國的企業(yè),威脅行為者試圖引誘一家沙特阿拉伯石油化工公司的員工打開一個(gè)偽造的職位應(yīng)聘文檔(實(shí)際上為惡意文件)。
2018年12月12日,意大利石油服務(wù)公司塞佩姆(Saipem)證實(shí),該公司近期感染了臭名昭著的病毒變種,導(dǎo)致停運(yùn)。據(jù)路透社報(bào)道,該攻擊關(guān)閉了該公司的300臺(tái)服務(wù)器和100臺(tái)計(jì)算機(jī),Saipem說,它正在努力從備份中恢復(fù)受攻擊影響的運(yùn)營。值得注意的是,沙特阿美是Saipem的最大客戶。
來源:國際安全智庫
北京市公安局海淀分局備案號(hào):11010802023656號(hào)