伊朗報復性網路攻擊升溫！ 伊朗駭客對美國電網發動大規模「密碼噴灑」攻擊

過去一年，由政府資助名為 Magnallium 的組織一直在監控美國的電力設施。在美國暗殺伊朗革命衛隊聖城旅指揮官蘇雷曼尼（Qasem Soleimani）後，伊朗隨即展開報復性導彈攻擊，伊朗觀察家警告指出，伊朗也可能部署網路攻擊，甚至以美國的關鍵基礎設施，例如電網為鎖定目標。一份新報告提供威脅的最新細節：從表面看來，伊朗駭客目前還沒有能力在美國引發大停電。但早在兩國緊張關係達到頂點之前，他們就一直努力獲得美國電力設施網路的存取權。

9 日上午，工控系統（ICS）安全公司 Dragos 詳細介紹最新揭露的駭客活動，追蹤並認為這些活動是由國家資助名為 Magnallium 的駭客組織發起。此組織也被稱為 APT33、「優雅小貓」（Refined Kitten）或「精靈」（Elfin），之前就認為與伊朗有關。Dragos 表示，他們觀察到 Magnallium 正展開名為「密碼噴灑」（Password-Spraying）的大規模攻擊活動，目標是美國電力設施及石油和天然氣公司。「密碼噴灑」攻擊能猜解數百甚至數千個不同帳戶的通用密碼。

一個 Dragos 稱為 Parister 的相關組織，顯然與 Magnallium 有合作關係，Parister 組織試圖透過 VPN 軟體的漏洞，存取美國電力設施及油氣公司。這兩個組織的聯合入侵行動貫穿整個 2019 年，直到今天仍在繼續。

攻擊關鍵基礎設施已成常見攻擊選項

Dragos 拒絕就這些活動是否導致實際入侵發表評論，不過報告明確表示，儘管進行 IT 系統調查，但他們沒有看到任何跡象，表明伊朗駭客能存取可控管電網營運商或油氣設施之實體設備的專業軟體。特別是在電力公用事業，想透過數位手段引發大停電，需要比 Dragos 報告描述技術更複雜的手法。

儘管考量到伊朗發動反攻的可能威脅，但基礎設施業者仍應密切關注可能的攻擊活動，Dragos 公司創辦人、美國國家安全局（NSA）關鍵基礎設施威脅情報前分析師 Rob Lee 表示，應該考慮的不僅是各種入侵網路的新嘗試，還有系統已被入侵的可能性。「我對伊朗局勢的擔憂，並不是我們可能看到大規模新行動出現，」Lee 表示：「我最擔心的是這些團體可能已經擁有存取權限。」

Dragos 分析師 Joe Slowik 提醒，Dragos 觀察到的「密碼噴灑」攻擊和 VPN 入侵活動並不限於電網營運商或油氣公司。但他也表示，伊朗對電力設施等關鍵基礎設施目標表現出「無比明確的興趣」，「以如此亂槍打鳥的方式展開攻擊，雖然顯得有點漫無目標、草率或雜亂，但卻讓他們試著以相對快速和廉價的方式建立多個存取點，進而可在選擇的某個點擴大延伸後續活動。」Slowik 表示，他曾是能源部（Department of Energy，DOE）事故回應小組負責人。

據報導，伊朗駭客過去曾入侵美國電力設施，這為未來攻擊美國電力設施的可能行動奠定了基礎，俄羅斯和中國也是如此。事實上，美國駭客在其他國家也做同樣的事。原本歐巴馬（Obama）政府與伊朗的核子協議破裂後有些許趨緩的緊張局勢，又因伊朗 7 日晚間發動導彈襲擊再度加劇，這波電網探測監控之舉無疑代表更新的攻擊活動。

癱瘓電力設施有難度

Dragos 描述的「密碼噴灑」攻擊與微軟類似發現相吻合。去年 11 月，微軟透露，曾看到 Magnallium 照類似時間表發動「密碼噴灑」攻擊行動，但目標是應用在電力設施、石油和天然氣設施及其他工業環境的工控系統供應商。微軟當時便警告，這類「密碼噴灑」攻擊可能是大規模惡意破壞的首部曲，不過其他分析人士指出，也可能是鎖定工業的間諜活動。

Lee 警告，儘管 Dragos 發現 Magnallium 和 Parister 探測與監控美國電網，但也不要因此引起對潛在大停電可能的恐慌。儘管伊朗對入侵工控系統表現出興趣，但沒有跡象表明成功開發了能破壞電路斷路器等實體設備的工具和技術。「我沒有看到他們具備對基礎設施造成重大癱瘓或破壞的能力」，Lee 表示。

但這不意味著伊朗對電力設施或石油和天然氣公司的入侵不值得擔憂。安全公司 FireEye 的情報總監 John Hultquist 警告，多年來一直追蹤以 APT33 之名現身的 Magnallium 組織，其與一連串摧毀數千台電腦的網路攻擊有關，也就是專門攻擊伊朗在海灣地區敵對者的「Wiper」惡意軟體攻擊行動。他們可能無法讓關鍵基礎設施停擺，但他們可以輕易破壞電力公用事業的電腦網路。