工控系統再迎大波瀾，伊朗APT組織將其作為重點攻擊目標

【導讀】前段時間，在弗吉尼亞州阿靈頓舉行的CyberwarCon會議上，有安全研究專家指出，伊朗黑客組織APT33活動及攻擊目標發生變化，將攻擊重點從IT網路轉移到包括電力、製造和煉油廠等在內的工業控制系統。雖然還沒有直接證據，但綜合考慮到APT33的歷史以及美伊之間持續發生的網路戰爭，APT33攻擊目標向關鍵基礎設施轉移不得不引起我們持續性關注。

伊朗APT組織活動發生變化，工業控制系統成其重點攻擊目標

前段時間，在弗吉尼亞州阿靈頓舉行的CyberwarCon會議上，安全研究員內德·莫蘭（Ned Moran）表示：伊朗黑客組織APT33（也稱為Elfin，RefinedKitten和Holmium）的活動發生了變化：

據持續性觀察，APT33一直在進行所謂的密碼噴灑（Password spraying）攻擊，尤其在過去一年，這些攻擊在成千上萬個組織的使用者帳戶中僅嘗試了幾種通用密碼。可以說，這是粗暴且不加區別的攻擊。

但在過去兩個月中，APT33已將其密碼噴灑範圍大大縮小到每月約2,000個組織，與此同時，針對每個組織的帳戶數量卻平均增加了近十倍。

更為值得注意的是，把這些黑客試圖破解的帳戶進行排名，發現在黑客嘗試入侵的25個頂級組織中有一半是工業控制系統裝置的製造商、供應商或維護商。據該研究員會上介紹，自10月中旬以來，僅近一個月時間，APT33已經瞄準了數十家工業裝置和軟體公司。

不止如此，外媒還報導，本月早些時候APT33一直在使用大約12臺實時指揮和控制（C&C）伺服器，針對中東、美國和亞洲進行攻擊。而去年，APT33加大了對波斯灣各種公司的攻擊，其中包括能源公司。此外，國外某高階威脅研究小組還表示：APT33是Shamoon惡意軟體攻擊的罪魁禍首，該攻擊在2012年襲擊了沙特石油巨頭Aramco的伺服器。

網路攻擊再次與物理世界相結合，獲取系統許可權實為對關鍵設施物理性打擊

目前尚不清楚APT33是否破解了他們試圖入侵的系統。但莫蘭特別警告，該黑客組織的最終目標應是試圖獲得對系統的訪問許可權，以便對關鍵基礎設施（例如能源基礎設施）進行破壞性的物理攻擊。

“黑客組織正在追捕這些控制系統的生產商和製造商，但我認為這不是他們的最終目標，我想應該是通過瞄準工控系統，從而試圖尋找下游客戶，以瞭解這些下游客戶的工作方式以及使用這些裝置的人，最終給使用這些控制系統的關鍵基礎設施帶來一些麻煩。”

 此外，該研究員還特別強調，這不僅僅是間諜活動或偵察，因為他已經看到了至少該組織為這些攻擊打下基礎的事件：據相關資料顯示，APT33黑客組織的指紋出現在多次入侵中，後來受害者被一種名為Shamoon的資料擦除惡意軟體擊中。美一家大型安全技術公司，在去年則警告稱，APT33（或一個被其對衝的假裝為APT33的組織）正在通過一系列破壞資料的攻擊部署Shamoon的新版本。

這裡智庫想特別強調一下，當以網路戰為準的網路攻擊運用到物理世界裡，尤其是以工控系統為主的關鍵基礎設施中，幾年前“知名事件”的後果，永遠應警鐘長鳴。

l 2009年和2010年，美國和以色列共同啟動了一條名為Stuxnet的程式碼，該程式碼摧毀了伊朗核濃縮離心機，讓其核計劃瞬間“流產”。

l 2016年12月，俄羅斯使用一種稱為Industroyer或Crash Override的惡意軟體，在烏克蘭首都基輔短暫斷電。

l 2017年，身份不明的黑客在沙特一家煉油廠部署了一種名為Triton或Trisis的惡意軟體，旨在禁用安全系統。而這些攻擊方式，特別是Triton攻擊，有可能造成身體混亂，直接威脅目標設施內部人員的安全。

美伊關係緊張加劇，APT33持續升級，網路戰成為國與國博弈重要手段

 過去，APT33主要針對沙特和美國。在美國總統川普宣佈，美國退出伊朗核協議後，伊朗情報和安全機構進行了一系列改革，改組後伊朗革命衛隊的軍銜和聲望有所提高，派出了更多的鷹派官員，襲擊也變得更加頻繁，而APT33的力量也跟隨著不斷增強。

此外，APT33的潛在升級也正是在伊美關係緊張的時刻發生的：

今年6月-9月，美伊在網路戰上持續的你來我往。智庫在《美官員爆料：沙特石油“核心”遭襲後，美對伊打響“網路復仇戰”》與《海灣局勢再度告急，伊朗煉油廠大火，疑似為網路攻擊“復仇”反擊》文章中有過詳細盤點，請點選瞭解詳情。

而此處，想重點提及的是，今年6月20日下午，APT33的密碼噴灑活動從每天數以千萬計的攻擊嘗試下降到零，這表明APT33的基礎結構可能受到了打擊。

而這次事件與《The New York Times》曾援引美國一位高階官員的話，爆料：今年6月，美網軍就對伊朗發動了網路攻擊，摧毀了伊朗革命衛隊使用的一個關鍵資料庫（也就是《美官員爆料：沙特石油“核心”遭襲後，美對伊打響“網路復仇戰”》文章中重點提及的），這一事件時間點不謀而合。

可以說，此次的爆料再次有利地佐證了網路戰已經成為當今國與國博弈的重要手段，網路戰正在成為當今國與國之間最主要的作戰方式。該事件的彙報者莫蘭就感慨到：

“他們正在試圖向對手傳達資訊，並試圖強迫和改變他們的行為。當您看到無人駕駛飛機襲擊沙特的一個提取設施時，當您看到油輪被摧毀時……我的直覺說他們想在網路上做同樣的事情。”

其他資料：關於APT33組織的介紹

關於APT33的相關活動，智庫也做了一些簡單整理，供感興趣的小夥伴查閱：

APT33是伊朗國家級黑客組織。該組織針對的是美國、沙特和韓國的多個行業，其中尤其關注航空和能源領域。

有安全研究機構認為，APT33被發現於2012年，並認為APT33是開發出名為Shamoon（DistTrack）的磁碟擦除惡意軟體的組織。Shamoon惡意程式碼曾在2012年攻擊過沙特Aramco國家石油公司和卡達Rasgas天然氣公司，並在2012年摧毀了沙特的Saudi Aramco油氣公司超過35,000個工作站。此後又肆虐了歐洲和中東。

此外，還有資料顯示，APT33於2015年底或2016年初首次活躍。該組織專門研究掃描易受攻擊的網站，並使用它來識別潛在目標，以攻擊或建立命令與控制（C＆C）基礎結構。該組織的目標包括政府以及研究，化學，工程，製造，諮詢，金融，電信和其他多個部門的組織。 

從2016年中至2017年初，APT33入侵了美國一家航空航天領域的組織，並試圖攻擊一個位於沙特的一家擁有航空控股的企業。與此同時，APT33還針對韓國的與石油化工有關的公司發起過攻擊。

2017年5月，APT33試圖入侵一些沙特和韓國的企業，威脅行為者試圖引誘一家沙特石油化工公司的員工開啟一個偽造的職位應聘文件（實際上為惡意檔案）。 

2018年12月12日，義大利石油服務公司塞佩姆（Saipem）證實，該公司近期感染了臭名昭著的病毒變種，導致停運。據路透社報導，該攻擊關閉了該公司的300臺伺服器和100臺計算機，Saipem說，它正在努力從備份中恢復受攻擊影響的運營。值得注意的是，沙特阿美是Saipem的最大客戶。

文章參考連結：

https://www.wired.com/story/iran-apt33-industrial-control-systems/

https://finance.yahoo.com/news/iranian-hackers-planning-attack-key-200000186.html

本文為國際安全智庫作品 （微信公眾號：guoji-anquanzhiku）

如需轉載，請標註文章來源於：國際安全智庫