【導讀】前段時間,在弗吉尼亞州阿靈頓舉行的CyberwarCon會議上,有安全研究專家指出,伊朗黑客組織APT33活動及攻擊目標發生變化,將攻擊重點從IT網絡轉移到包括電力、製造和煉油廠等在內的工業控制系統。雖然還沒有直接證據,但綜合考慮到APT33的歷史以及美伊之間持續發生的網絡攻擊,APT33攻擊目標向關鍵基礎設施轉移不得不引起我們持續性關注。
前段時間,在弗吉尼亞州阿靈頓舉行的CyberwarCon會議上,安全研究員內德·莫蘭(Ned Moran)表示:伊朗黑客組織APT33(也稱為Elfin,Refined Kitten和Holmium)的活動發生了變化:
據持續性觀察,APT33一直在進行所謂的密碼噴灑(Password spraying)攻擊,尤其在過去一年,這些攻擊在成千上萬個組織的用戶帳戶中僅嘗試了幾種通用密碼。可以說,這是粗暴且不加區別的攻擊。
但在過去兩個月中,APT33已將其密碼噴灑範圍大大縮小到每月約2,000個組織,與此同時,針對每個組織的帳戶數量卻平均增加了近十倍。
更為值得注意的是,把這些黑客試圖破解的帳戶進行排名,發現在黑客嘗試入侵的25個頂級組織中有一半是工業控制系統設備的製造商、供應商或維護商。據該研究員會上介紹,自10月中旬以來,僅近一個月時間,APT33已經瞄準了數十家工業設備和軟件公司。
不止如此,外媒還報道,本月早些時候APT33一直在使用大約12臺實時指揮和控制(C&C)服務器,針對中東、美國和亞洲進行攻擊。而去年,APT33加大了對波斯灣各種公司的攻擊,其中包括能源公司。此外,國外某高級威脅研究小組還表示:APT33是Shamoon惡意軟件攻擊的罪魁禍首,該攻擊在2012年襲擊了沙特石油巨頭Aramco的服務器。
目前尚不清楚APT33是否破解了他們試圖入侵的系統。但莫蘭特別警告,
該黑客組織的最終目標應是試圖獲得對系統的訪問權限,以便對關鍵基礎設施(例如能源基礎設施)進行破壞性的物理攻擊。“黑客組織正在追捕這些控制系統的生產商和製造商,但我認為這不是他們的最終目標,我想應該是通過瞄準工控系統,從而試圖尋找下游客戶,以瞭解這些下游客戶的工作方式以及使用這些設備的人,最終給使用這些控制系統的關鍵基礎設施帶來一些麻煩。“
此外,該研究員還特別強調,這不僅僅是間諜活動或偵察,因為他已經看到了至少該組織為這些攻擊打下基礎的事件:據相關資料顯示,APT33黑客組織的指紋出現在多次入侵中,後來受害者被一種名為Shamoon的數據擦除惡意軟件擊中。美一家大型安全技術公司,在去年則警告稱,APT33(或一個被其對沖的假裝為APT33的組織)正在通過一系列破壞數據的攻擊部署Shamoon的新版本。
這裡智庫想特別強調一下,當以網絡攻擊為準的網絡攻擊運用到物理世界裡,尤其是以工控系統為主的關鍵基礎設施中,幾年前“知名事件”的後果,永遠應警鐘長鳴。
2009年和2010年,美國和以色列共同啟動了一條名為Stuxnet的代碼,該代碼摧毀了伊朗核濃縮離心機,讓其核計劃瞬間“流產”。
2016年12月,俄羅斯使用一種稱為Industroyer或Crash Override的惡意軟件,在烏克蘭首都基輔短暫斷電。
2017年,身份不明的黑客在沙特阿拉伯一家煉油廠部署了一種名為Triton或Trisis的惡意軟件,旨在禁用安全系統。而這些攻擊方式,特別是Triton攻擊,有可能造成身體混亂,直接威脅目標設施內部人員的安全。
過去,APT33主要針對沙特阿拉伯和美國。在美國總統特朗普宣佈,美國退出伊朗核協議後,伊朗情報和安全機構進行了一系列改革,改組後伊朗革命衛隊的軍銜和聲望有所提高,派出了更多的鷹派官員,襲擊也變得更加頻繁,而APT33的力量也跟隨著不斷增強。
此外,APT33的潛在升級也正是在伊美關係緊張的時刻發生的:
今年6月-9月,美伊在網絡攻擊上持續的你來我往。智庫在《美官員爆料:沙特石油“心臟”遭襲後,美對伊打響“網絡復仇戰”》與《海灣局勢再度告急,伊朗煉油廠大火,疑似為網絡攻擊“復仇”反擊》文章中有過詳細盤點,請點擊瞭解詳情。
而此處,想重點提及的是,今年6月20日下午,APT33的密碼噴灑活動從每天數以千萬計的攻擊嘗試下降到零,這表明APT33的基礎結構可能受到了打擊。
而這次事件與《紐約時報》曾援引美國一位高級官員的話,爆料:今年6月,美網軍就對伊朗發動了網絡攻擊,摧毀了伊朗革命衛隊使用的一個關鍵數據庫(也就是《美官員爆料:沙特石油“心臟”遭襲後,美對伊打響“網絡復仇戰”》文章中重點提及的),這一事件時間點不謀而合。
可以說,此次的爆料再次有利地佐證了網絡攻擊已經成為當今國與國博弈的重要手段,網絡攻擊正在成為當今國與國之間最主要的作戰方式。該事件的彙報者莫蘭就感慨到:
“他們正在試圖向對手傳達信息,並試圖強迫和改變他們的行為。當您看到無人駕駛飛機襲擊沙特阿拉伯的一個提取設施時,當您看到油輪被摧毀時……我的直覺說他們想在網絡上做同樣的事情。”
其他資料:關於APT33組織的介紹
關於APT33的相關活動,智庫也做了一些簡單整理,供感興趣的小夥伴查閱:
APT33是伊朗國家級黑客組織。該組織針對的是美國、沙特阿拉伯和韓國的多個行業,其中尤其關注航空和能源領域。
有安全研究機構認為,APT33被發現於2012年,並認為APT33是開發出名為Shamoon(DistTrack)的磁盤擦除惡意軟件的組織。Shamoon惡意代碼曾在2012年攻擊過沙特阿拉伯Aramco國家石油公司和卡塔爾Rasgas天然氣公司,並在 2012年摧毀了沙特阿拉伯的Saudi Aramco油氣公司超過35,000個工作站。此後又肆虐了歐洲和中東。
此外,還有資料顯示,APT33於2015年底或2016年初首次活躍。該組織專門研究掃描易受攻擊的網站,並使用它來識別潛在目標,以攻擊或創建命令與控制(C&C)基礎結構。該組織的目標包括政府以及研究,化學,工程,製造,諮詢,金融,電信和其他多個部門的組織。
從2016年中至2017年初,APT33入侵了美國一家航空航天領域的組織,並試圖攻擊一個位於沙特阿拉伯的一家擁有航空控股的企業。與此同時,APT33還針對韓國的與石油化工有關的公司發起過攻擊。
2017年5月,APT33試圖入侵一些沙特阿拉伯和韓國的企業,威脅行為者試圖引誘一家沙特阿拉伯石油化工公司的員工打開一個偽造的職位應聘文檔(實際上為惡意文件)。
2018年12月12日,意大利石油服務公司塞佩姆(Saipem)證實,該公司近期感染了臭名昭著的病毒變種,導致停運。據路透社報道,該攻擊關閉了該公司的300臺服務器和100臺計算機,Saipem說,它正在努力從備份中恢復受攻擊影響的運營。值得注意的是,沙特阿美是Saipem的最大客戶。
關於美伊持續性網絡攻擊相關報道請閱讀:
《美伊網絡攻擊再掀新高潮 | 伊朗人疑似“控制”美國電網,俄羅斯直言:乾的漂亮》
《美伊網絡攻擊持續升溫,美摧毀伊朗關鍵數據庫,癱瘓其襲擊油輪的能力》
《美官員爆料:沙特石油“心臟”遭襲後,美對伊打響“網絡復仇戰”》
《海灣局勢再度告急,伊朗煉油廠大火,疑似為網絡攻擊“復仇”反擊》
關注“國際安全智庫”公共號
閱讀更多 360安全衛士 的文章
