信息來(lái)源：安全牛

在美國(guó)暗殺伊朗將軍蘇萊馬尼后，軍事和網(wǎng)絡(luò)安全專家曾警告說(shuō)伊朗有可能發(fā)動(dòng)一波破壞性的網(wǎng)絡(luò)攻擊（參考閱讀：伊朗有能力對(duì)美國(guó)發(fā)起網(wǎng)絡(luò)攻擊）。

隨著伊朗報(bào)復(fù)性導(dǎo)彈襲擊塵埃落定，伊朗觀察家警告說(shuō)，伊朗仍可能部署網(wǎng)絡(luò)攻擊，甚至可能針對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施，例如電網(wǎng)。

上周四下午，工業(yè)控制系統(tǒng)安全公司 Dragos 發(fā)布的一份報(bào)告詳細(xì)介紹了伊朗黑客活動(dòng)最新的跟蹤分析報(bào)告。報(bào)告指出：

伊朗政府資助的黑客組織Magnallium (APT33，該組織其他代號(hào)還包括Elfin、Kitten) 一直在努力試圖攻擊美國(guó)電力公司。

Dragos 在報(bào)告中聲稱已經(jīng)觀察到 APT33 針對(duì)美國(guó)電網(wǎng)基礎(chǔ)設(shè)施進(jìn)行了廣泛的的密碼噴射攻擊 (Password Spray)，對(duì)美國(guó)的電力公司以及石油和天然氣公司的數(shù)千個(gè)賬戶使用通用密碼輪詢猜測(cè)。

Dragos 指出，一個(gè) 2017 年開(kāi)始活躍的代號(hào) Parisite 的黑客組織顯然已經(jīng)與 APT33 合作，試圖通過(guò)利用 VPN 漏洞來(lái)進(jìn)入美國(guó)的電力公司和石油天然氣公司。Parisite 扮演著 APT33 “先頭部隊(duì)” 和偵察兵的角色。這兩個(gè)組織的聯(lián)合入侵活動(dòng)貫穿了整個(gè) 2019 年，并一直持續(xù)到今天。

七步成詩(shī)

對(duì)于 APT33 和 Parisite 的 “Kill Chain進(jìn)度”，Dragos 的安全專家李·羅伯表示：

我擔(dān)心的是他們可能已經(jīng)取得訪問(wèn)權(quán)限。

這里所謂的取得訪問(wèn)權(quán)限，在流行的攻擊鏈 (Kill Chain) 七步模型中大致的階段如下圖所示：

如果按照 Kill Chain “七步成詩(shī)” 的節(jié)奏，伊朗黑客在基礎(chǔ)設(shè)施 IT 網(wǎng)絡(luò)中很有可能已經(jīng)走到了第五步。

雖然，Dragos 拒絕評(píng)論這些黑客活動(dòng)是否導(dǎo)致實(shí)際違規(guī)，但該報(bào)告明確表示，目前沒(méi)有跡象表明伊朗黑客可以訪問(wèn)控制電網(wǎng)運(yùn)營(yíng)商或油氣設(shè)施中物理設(shè)備中的專業(yè)軟件。特別是電力公司，從 IT 網(wǎng)絡(luò)側(cè)引發(fā)停電要比 Dragos 報(bào)告中描述的技術(shù)復(fù)雜得多。

但是，Dragos 的創(chuàng)始人和前國(guó)家安全局關(guān)鍵基礎(chǔ)設(shè)施威脅情報(bào)分析師羅伯·李認(rèn)為，考慮到伊朗反擊的威脅，基礎(chǔ)設(shè)施運(yùn)營(yíng)商仍應(yīng)密切關(guān)注黑客攻擊動(dòng)向。不僅應(yīng)該考慮其破壞網(wǎng)絡(luò)的新嘗試，而且還應(yīng)該考慮那些系統(tǒng)中已經(jīng)存在的威脅的可能性。

我對(duì)伊朗局勢(shì)的擔(dān)心不是一些新的重大行動(dòng)的爆發(fā)，而是黑客組織可能已經(jīng)取得訪問(wèn)權(quán)限。

Dragos 分析師 Joe Slowik 警告說(shuō)，Dragos 觀察到的密碼噴射和 VPN 黑客攻擊活動(dòng)不僅限于電網(wǎng)運(yùn)營(yíng)商或石油和天然氣。但他還說(shuō)，伊朗對(duì)包括電力公司在內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施目標(biāo)表現(xiàn)出了 “極大的興趣”。

前美國(guó)能源部事件響應(yīng)小組負(fù)責(zé)人斯洛維克（Slowik）說(shuō)道：

雖然目前的攻擊看上去沒(méi)有針對(duì)性，雜亂無(wú)章，但是，攻擊者仍可以嘗試以相對(duì)便宜的價(jià)格建立相對(duì)較快的訪問(wèn)點(diǎn)，并開(kāi)展進(jìn)一步的行動(dòng)。

Dragos 報(bào)告的伊朗黑客密碼噴射攻擊與 Microsoft 此前的發(fā)現(xiàn)相互印證。微軟曾在去年 11 月透露觀測(cè)到 Magnallium(APT33) 在類似的時(shí)間段上進(jìn)行了密碼噴射攻擊活動(dòng)，目標(biāo)是電力、石油和天然氣設(shè)施以及其他工業(yè)環(huán)境中使用的那種工業(yè)控制系統(tǒng)。微軟當(dāng)時(shí)警告說(shuō)：這種密碼泄露活動(dòng)可能是破壞活動(dòng)的第一步，不過(guò)也有分析師認(rèn)為可能是工業(yè)間諜活動(dòng)。

Dragos 目前拒絕透露 Parisite 試圖利用的 VPN 漏洞的詳細(xì)信息，不過(guò)根據(jù) ZDNet 上周五的報(bào)告，伊朗黑客 利用 Pulse Secure 或 Fortinet VPN 服務(wù)器中的漏洞在巴林的國(guó)家石油公司 Bapco 內(nèi)植入惡意軟件。 安全公司 Devcore 去年的報(bào)告也發(fā)現(xiàn)，Pulse Secure 和 Fortinet 的 VPN 以及 Palo Alto Networks 出售的 VPN 都存在漏洞。

Lee 指出，盡管 APT33 和 Parisite 對(duì)電網(wǎng)進(jìn)行了探測(cè)，但 Dragos 的發(fā)現(xiàn)還不足以引發(fā)關(guān)于大停電的恐慌。盡管伊朗黑客表現(xiàn)出對(duì)工業(yè)控制系統(tǒng)的濃厚興趣，但目前沒(méi)有跡象表明 APT33 已經(jīng)開(kāi)發(fā)出可以破壞斷路器等物理設(shè)備的工具和技術(shù)。

但這并不意味著伊朗對(duì)電力公司或石油天然氣公司的入侵就不會(huì)引起關(guān)注。安全公司 FireEye 的情報(bào)總監(jiān) John Hultquist 曾追蹤 APT33 多年。他警告說(shuō)，APT33 的攻擊技術(shù)雖然 “樸實(shí)無(wú)華”，但是往往能造成嚴(yán)重后果。例如該組織曾經(jīng)破壞數(shù)千臺(tái)計(jì)算機(jī)， 用 wiper 數(shù)據(jù)刪除惡意軟件虐遍了整個(gè)海灣地區(qū)的伊朗對(duì)手。APT33 可能無(wú)法關(guān)閉電閘，但是有能力破壞電力公司的計(jì)算機(jī)網(wǎng)絡(luò)。

我們知道他們的能力，我們一次又一次地看到他們成功抹去了大量存有企業(yè)經(jīng)營(yíng)業(yè)務(wù)數(shù)據(jù)的硬盤，導(dǎo)致被攻擊企業(yè)損失慘重。

APT防御之道

總之，美國(guó)網(wǎng)絡(luò)安全業(yè)界對(duì) APT33 等伊朗黑客組織的數(shù)據(jù)破壞能力基本達(dá)成共識(shí)，安全公司 SentinelOne 威脅情報(bào)中心則向美國(guó)企業(yè)客戶發(fā)出警告，并給出了具體的攻擊防御和數(shù)據(jù)保護(hù)的技術(shù)建議：

伊朗及其合作伙伴，例如真主黨，以前已經(jīng)證明了在美國(guó)開(kāi)展業(yè)務(wù)的意圖和能力。伊朗伊朗始終不懈地推進(jìn)著強(qiáng)大的網(wǎng)絡(luò)戰(zhàn)計(jì)劃，有能力對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施發(fā)起（即使是短暫的）破壞性攻擊。

SentinelOne 給出了 APT33 的攻擊工具和 TTP ID，方便企業(yè)威脅情報(bào)中心進(jìn)行有針對(duì)性的準(zhǔn)備：

SentinelOne給美國(guó)企業(yè)的防御升級(jí)建議：

1、禁用不必要的端口和協(xié)議

查看網(wǎng)絡(luò)安全設(shè)備日志可以幫助您確定哪些端口和協(xié)議已公開(kāi)，但不需要。對(duì)于那些活動(dòng)，請(qǐng)監(jiān)視這些活動(dòng)是否存在可疑的 “命令與控制” 之類的活動(dòng)。

2、記錄并限制使用PowerShell

如果用戶或帳戶不需要 PowerShell，請(qǐng)通過(guò)組策略編輯器將其禁用。請(qǐng)啟用 PowerShell 腳本的代碼簽名，記錄所有 PowerShell 命令并打開(kāi) “腳本塊記錄”。

3、設(shè)置策略以警告加入網(wǎng)絡(luò)的新主機(jī)

為了減少網(wǎng)絡(luò)上 “流氓” 設(shè)備的可能性，增加可見(jiàn)性，并在新主機(jī)嘗試加入網(wǎng)絡(luò)時(shí)通知關(guān)鍵安全人員。

4、立即備份，然后測(cè)試恢復(fù)過(guò)程的業(yè)務(wù)連續(xù)性

另外，請(qǐng)確保您具有冗余備份，最好是結(jié)合使用熱/熱和熱/冷備份。

5、加強(qiáng)對(duì)網(wǎng)絡(luò)和電子郵件流量的監(jiān)視

入侵者最常利用的媒介是網(wǎng)絡(luò)上不受保護(hù)的設(shè)備以及有針對(duì)性的網(wǎng)絡(luò)釣魚(yú)電子郵件。參考限制郵件附件的最佳做法，并檢查網(wǎng)絡(luò)簽名。

6、修補(bǔ)外部設(shè)備

攻擊者會(huì)主動(dòng)掃描并利用漏洞，尤其是那些允許遠(yuǎn)程執(zhí)行代碼或拒絕服務(wù)攻擊的漏洞。