伊朗駭客惡意程式已駭入美國電網、油氣公司

本周美國國土安全部才警告伊朗可能發動網路攻擊以報復美國炸死軍事將領，安全廠商就發現美國電網、煉油及天然氣及中東國家巴林的煉油廠，先後遭到惡意程式駭入。

媒體Wired引述安全公司Dragos最新發佈的報告，近日一個駭客組織近日積極活動中，研判是相傳和伊朗政府有關的Magnallium，該組織又名APT33、Refined Kitten或Elfin。他們偵測到Magnallium已成功駭入美國電廠、煉油和天然氣公司的網路。

研究人員相信，伊朗駭客使用一種叫「密碼潑灑」（password spraying）的手法，即以特定簡單而常見的密碼組合，對目標企業上百或上千個帳號進行破解測試，由此進入受害企業的網路。不過Dragos研究人員也發現，有另一個名為Parisite的駭客組織參與Magnallium的行動，但前者則是透過開採美國油、電公司的VPN軟體漏洞入侵這些公司的內網。

事實上根據Dragos的追蹤，Magnallium和Parisite也是從2019年起就一直頻繁活動並延續至今，而且Magnallium的攻擊對象也不限於美國能源業，2018年起也曾攻擊過沙烏地阿拉伯及南韓石化廠，及美國航太企業。

研究人員不願說明最新的駭客活動是否導致美國企業的資料損失，不過報告指出沒有跡象顯示伊朗駭客已經攻入電網、油氣設施的實體控制設備軟體。

另一方面，沙烏地阿拉伯國家網路安全署旗下的國家網路安全中心（NCSC），也於本周對該國能源相關企業發出警告，因為去年12月29日巴林的國家煉油廠一名員工電腦上，偵測到一隻能刪除電腦資料的惡意程式，NCSC將之稱為Dustman。沙國研究人員相信它是去年底一隻名為ZeroCleare的變種。Dustman經由開採VPN軟體漏洞藉由VPN連線，取得受害公司的網域管理員帳密，最後在其內網電腦上自我複製。

ZDNet報導，過去安全界的分析顯示ZeroCleare及Shamoon都是伊朗政府支持的駭客組織所為，兩者一旦在受害電腦中啟動，都會刪除電腦硬碟中的資料。其中Shamoon曾在2012年發威，一舉刪光沙國一家煉油廠3.2萬台電腦資料。

不過這次的Dustman似乎是伊朗駭客活動的日常，和上周美、伊外交事件沒有直接關係。