正当美伊冲突持续激烈发酵之际,双方的争斗已然延伸至网络空间。美国一政府网站已被伊朗攻击者小试牛刀。网络大战,一触即发。1月8日,美国中情局和国土安全部发布警告称,伊朗近期除对海外美国人发动袭击之外,还可能针对美国采取网络攻击。1月9日,知名工业网络安全公司Dragos在其名为《北美电力网络威胁形势》的最新报告中,指出众多网络攻击组织已瞄准了北美的电力公司。《安全周刊》(securityweek.com)则采访了CyberX、Dragos、CrowdStrike、Nozomi Networks等知名网络安全公司的专家,全面解析伊朗攻击美国关键基础设施的能力及美国需要采取的应对之策。专家指出:地缘政治冲突加剧必然投射至网络空间;伊朗具备攻击美国关键基础设施的强烈意图和相应能力;金融、国防、政府以及石油和天然气行业的组织最有可能成为攻击目标;应及时评估和审查网络安全应急响应计划;应加强工业环境网络系统的异常监测,增强OT可见性;高度重视局部、短期的关键民用设施停服的连锁效应;加强网络空间威胁情报共享的时效性和有效性。
《安全周刊》1月8日报道,网络安全专家认为,伊朗可能会发动网络攻击以回应美国最近一次空袭杀死了其高级军事指挥官卡西姆·索莱曼尼(Qassem Soleimani)少将,如果这些网络袭击将关键基础设施或工业控制系统(ICS)作为目标,许多人怀疑伊朗是否有能力造成重大破坏。尽管如此,相关组织仍然建议做好防范准备以应对真正网络攻击的发生。
卡西姆·索莱曼尼将军领导着伊朗革命卫队的精锐部队圣城旅--Quds部队,他被认为是伊朗最有权势的人之一。1月3日,他因美国发动的空袭而在伊拉克被杀。
在卡西姆·索莱曼尼死讯宣布后不久,一些自称来自伊朗的黑客攻陷了美国一个政府机构的网站,但攻击并没有太高的技术复杂度。更大的担忧是,伊朗可能对运营ICS的组织和关键基础设施发起攻击,这可能导致更大的损失。
IBM最近透露存在一个与伊朗相关的擦除器恶意软件,该恶意软件曾被用于中东能源和工业组织的针对性很强的网络攻击。
美国中情局和国土安全部下属关键基础设施保护局(CISA)当地时间8日发表联合公报,警告伊朗近期可能从两方面对美国构成威胁,首先可能会在海外针对美国人发动袭击,此外伊朗也有可能针对美国采取网络攻击手段。
另据《安全周刊》1月9日报道,工业网络安全公司Dragos已经发现越来越多的攻击组织瞄准了北美的电力公司。
该公司发布了一份新报告,描述了北美电力部门面临的网络威胁。Dragos在其名为《北美电力网络威胁形势》的最新报告中说:“随着对手及其赞助商投入更多的精力和金钱来获得注重效果的能力,对电力部门造成中断性或损毁性攻击的风险将大大增加。”
Dragos目前跟踪总共已知针对工业控制系统(ICS)的11个威胁组,其中有7个攻击了北美的电力公司。它追踪的这些威胁组织PARISITE、XENOTIME、MAGNALLIUM、DYMALLOY、RASPITE、ALLANITE和COVELLITE.Hacker,越来越多地瞄准北美的电力公司。Dragos去年的报告发现,XENOTIME是2017年Triton/Trisis恶意软件攻击沙特阿拉伯一家石化厂的幕后肇事者,已经开始瞄准美国和亚太地区的电力公司。
在最新的报告中,Dragos透露,MAGNALLIUM在2019年秋季也开始瞄准美国的电力公司。MAGNALIUM被其他公司称为APT33和Elfin,至少从2013年开始活跃。
尽管一些专家怀疑伊朗是否有能力通过网络攻击对关键基础设施造成重大或广泛的损坏,但在如此复杂凶险的地缘政治争斗中,一切皆有可能发生。众多网络安全专家已建议,美国关键基础设施领域的组织采取措施保护其网络安全。
Dragos威胁情报副总裁Sergio Caltagirone
Dragos已警告全球范围内的工业资产所有者和运营商,尤其是中东和北美洲的工业资产所有者和运营商,仔细监视其环境以了解威胁行为并审查应急响应计划。我们最大的担忧是,这种冲突将导致民用关键基础设施中断或损毁。实际上无法知道是伊朗、美国或其他国家是否、何时、何地动用网络攻击效应作为其行动的一部分,但是随着紧张局势的加剧,网络攻击的可能性也会增加。
如果发生攻击,则影响可能是有限的和局部的。世界范围内的工业基础设施虽然具有一定的网络弹性,但也没有做好自卫的准备。我们需要做更多的事情,但要减少恐惧。
防御者可立即采取的行动:加强对工业环境中恶意行为的监控,查看应急响应计划,与整个行业的同事进行开放式交流以分享见解。但是,最重要的是要认识到对工业环境日益增长的风险和威胁,并做出正确的投资决策以更好地为下一次做准备。
CyberX工业网络安全副总裁Phil Neray
多年来,我们已经知道ICS /OT网络是攻击者的软目标,具有未打补丁的旧系统以及与互联网和公司IT网络的弱连接。最近,我们观测看到伊朗威胁组织进行了网络钓鱼攻击,以通过攻陷可信的供应商来获取访问权,比如攻击ICS厂商。眼下的主要问题是,在不引起重大网络或动态报复的情况下,他们会造成多大的干扰,从而获得理想的宣传优势。因此,我们并不是非要关注像俄罗斯攻击乌克兰那样,将整个城市电网搞瘫。但是,仅仅需要关闭一个小型的地区或市政公用事业机构一小时左右的时间(阻止人们访问其自动柜员机),这种后果也不敢想象,这可能正是他们所需要的。
Dragos首席执行官兼创始人Robert M. Lee
伊朗的网络威胁具有一定的能力,但迄今为止并未表现出与某些类型的攻击(例如最具破坏性的基础设施攻击)水平,比如达到美国、中国和俄罗斯那样的能力水准;尽管我们知道,它们具有一直在不断提高自己能力的动力,积极进取并愿意尽可能造成更大的破坏性(拒绝提供银行服务,在可能的情况下获得对工业控制系统的访问权,并在他们可以访问的公司擦除系统)。看到了诸如电力中断之类的广泛问题或情景,但我们完全有可能看到对他们认为可能造成的任何损害的机会性反应。
Suzanne Spaulding,Nozomi Networks的顾问,前国土安全部副部长
伊朗已经表现出了在美国境内进行攻击的意图和能力,以及对不断升级的风险的高度容忍,特别是在2011年暗杀沙特驻美国大使的阴谋期间。因此,鉴于网络空间中没有明确定义“红线”,并且伊朗政府将承受巨大的内部压力以采取强有力的行动,因此伊朗目前采取升级行动的风险特别高。
在2011-2012年,伊朗一直以银行为目标以应对制裁,我们现在应该预计其将对涉及无人机开发和部署的承包商采取行动。美国政府需要在与潜在目标共享涉及伊朗网络攻击能力、TTPs和计划有关的任何情报方面向前迈出实质性步伐,以协调一致地应对,将这种风险最小化并加强防御。
同时,关键基础设施的组织应特别警惕地监控其操作系统,以检查其工业操作系统中是否存在异常活动。在这个阶段,获得OT可见性并具有发现问题和快速反应的能力对国家安全至关重要。
CrowdStrike情报副总裁Adam Meyers
CrowdStrike正在密切监视当前中东局势的升级,以应对卡西姆·索莱曼尼将军被杀的事件。尽管CrowdStrike目前没有报告隶属伊朗的对手的特定威胁,但与以往的评估一致,CrowdStrike威胁情报分析团队认为,来自伊朗的敌人可能会利用广泛的手段来打击美国和盟国的利益,包括网络作战。
我们目前的评估结论是,金融、国防、政府以及石油和天然气行业的组织最有可能进行报复活动。我们还在监视分布式拒绝服务(DDoS)活动,因为伊朗过去曾使用过DDoS攻击以及其他策略,例如勒索软件活动。
Caroty首席安全官Dave Weinstein
我们的立场是,鉴于最近发生的事件,业主和运营商应保持警惕。ICS/OT网络的威胁活动加剧,通常与地缘政治动荡有关,伊朗对某些关键基础设施采取报复行动当然是合理的。同时,我提醒大家从技术角度来看,公司应确保监视其ICS连接,特别是与之前公开过的伊朗网络攻击TTPs(技术、战术和过程)所涉及的第三方和其他远程连接有关的ICS连接。
Synopsys CyRC首席安全策略师Tim Mackey
关键基础设施、制造或食品服务或其他工业的运营商应始终意识到地缘政治紧张局势的变化如何影响其运营。准确了解在工厂级部署了哪些软件资产,可能存在哪些外部网络访问权限,以及对任何软件资产的访问所具有的物理安全性,将是部署构建准确的威胁模型的关键要素,然后应在出现新威胁或地缘政治紧张局势加剧时重新评估该威胁模型。
与公司办公室或数据中心不同,ICS/OT/IIoT环境在发生潜在攻击时,通常不能依靠本地网络安全专业知识。因此,操作员应对其部署的软件资产进行风险评估。该风险评估将包括对资产的软件开发当前状态的了解,资产是否包含任何潜在的软件漏洞以及如何配置资产。鉴于ICS资产与其商业同类产品相比使用寿命更长,如果软件资产以不安全的方式部署,则潜在的风险(例如漏洞)可能会提供攻击机会,其中包括允许未经审核的远程访问的方式。
Lastline全球威胁情报主管Richard Henderson
伊朗显示出发展重工业的能力和倾向。任何拥有强大ICS(工业控制系统)基础设施的组织都应立即高度警惕潜在的攻击。到目前为止,重工业、石油和天然气、发电和附属的电网基础设施以及其他关键基础设施都已成为网络攻击目标。同时,伊朗可能不会直接针对ICS和SCADA系统发起攻击,它们可能会瞄准这些公司使用的更传统的IT基础设施。
伊朗有一些技术非常熟练和才华横溢的黑客,他们过去已经多次表明,他们不吝啬发挥自己的力量。
声明:本文来自天地和兴,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
