媒體Wired引述資安公司Dragos最新發布,名為「North American Electric Cyber Threat Perspective」報告,近期傳聞與伊朗政府相關Magnallium駭客組織正積極活動中,該組織又名APT33、Refined Kitten或Elfin。Dragos偵測到Magnallium已成功駭入美國電廠、煉油及天然氣公司網路。
報告指出,伊朗駭客使用「密碼潑灑」(password spraying)手法,即以特定簡單常見之密碼組合,針對目標企業帳號進行破解測試,藉此進入受害企業網路。不過Dragos研究人員發現,有另一個名為Parisite駭客組織也參與Magnallium行動,但前者是利用美國油、電公司之VPN軟體漏洞入侵公司內網。根據Dragos追蹤,Magnallium與Parisite從2019年起,就一直頻繁活動並延續至今,且Magnallium攻擊對象也不限於美國能源業,2018年也曾攻擊沙烏地阿拉伯、南韓石化廠及美國航太產業。該報告並未說明駭客活動是否導致美國企業資料損失,不過指出未有跡象顯示伊朗駭客已成功駭入電網、油氣設施實體控制設備軟體。
另一方面,沙烏地阿拉伯國家網路安全署(National Cybersecurity Authority)下之國家網路安全中心(National Cyber Security Center, NCSC),也於近期對該國能源相關企業發出警告,因為2019/12/29在巴林國家煉油廠一名員工電腦上,偵測到一支能刪除電腦資料的惡意程式,NCSC將之稱為Dustman。沙國研究人員相信它利用VPN軟體漏洞,藉由VPN連線取得受害公司網域管理員帳密,最後在其內網電腦上自我複製。不過這次所發現的Dustman攻擊,似乎是伊朗持續進行之駭客活動,與1月美、伊衝突事件沒有直接關係。
資料來源:
https://www.wired.com/story/iran-apt33-us-electric-grid/
https://dragos.com/resource/magnallium/
https://www.zdnet.com/article/new-iranian-data-wiper-malware-hits-bapco-bahrains-national-oil-company/
https://www.ithome.com.tw/news/135276
完整報告請參閱:
https://dragos.com/wp-content/uploads/NA-EL-Threat-Perspective-2019.pdf