工控系统再迎大波澜，伊朗APT组织将其作为重点攻击目标

【导读】前段时间，在弗吉尼亚州阿灵顿举行的CyberwarCon会议上，有安全研究专家指出，伊朗黑客组织APT33活动及攻击目标发生变化，将攻击重点从IT网络转移到包括电力、制造和炼油厂等在内的工业控制系统。虽然还没有直接证据，但综合考虑到APT33的历史以及美伊之间持续发生的网络战争，APT33攻击目标向关键基础设施转移不得不引起我们持续性关注。

伊朗APT组织活动发生变化，工业控制系统成其重点攻击目标 

前段时间，在弗吉尼亚州阿灵顿举行的CyberwarCon会议上，安全研究员内德·莫兰（Ned Moran）表示：伊朗黑客组织APT33（也称为Elfin，RefinedKitten和Holmium）的活动发生了变化：

据持续性观察，APT33一直在进行所谓的密码喷洒（Password spraying）攻击，尤其在过去一年，这些攻击在成千上万个组织的用户帐户中仅尝试了几种通用密码。可以说，这是粗暴且不加区别的攻击。

但在过去两个月中，APT33已将其密码喷洒范围大大缩小到每月约2,000个组织，与此同时，针对每个组织的帐户数量却平均增加了近十倍。

更为值得注意的是，把这些黑客试图破解的帐户进行排名，发现在黑客尝试入侵的25个顶级组织中有一半是工业控制系统设备的制造商、供应商或维护商。据该研究员会上介绍，自10月中旬以来，仅近一个月时间，APT33已经瞄准了数十家工业设备和软件公司。

不止如此，外媒还报道，本月早些时候APT33一直在使用大约12台实时指挥和控制（C&C）服务器，针对中东、美国和亚洲进行攻击。而去年，APT33加大了对波斯湾各种公司的攻击，其中包括能源公司。此外，国外某高级威胁研究小组还表示：APT33是Shamoon恶意软件攻击的罪魁祸首，该攻击在2012年袭击了沙特石油巨头Aramco的服务器。 

网络攻击再次与物理世界相结合，获取系统权限实为对关键设施物理性打击

目前尚不清楚APT33是否破解了他们试图入侵的系统。但莫兰特别警告，该黑客组织的最终目标应是试图获得对系统的访问权限，以便对关键基础设施（例如能源基础设施）进行破坏性的物理攻击。

 “黑客组织正在追捕这些控制系统的生产商和制造商，但我认为这不是他们的最终目标，我想应该是通过瞄准工控系统，从而试图寻找下游客户，以了解这些下游客户的工作方式以及使用这些设备的人，最终给使用这些控制系统的关键基础设施带来一些麻烦。”

此外，该研究员还特别强调，这不仅仅是间谍活动或侦察，因为他已经看到了至少该组织为这些攻击打下基础的事件：据相关资料显示，APT33黑客组织的指纹出现在多次入侵中，后来受害者被一种名为Shamoon的数据擦除恶意软件击中。美一家大型安全技术公司，在去年则警告称，APT33（或一个被其对冲的假装为APT33的组织）正在通过一系列破坏数据的攻击部署Shamoon的新版本。

这里智库想特别强调一下，当以网络战为准的网络攻击运用到物理世界里，尤其是以工控系统为主的关键基础设施中，几年前“知名事件”的后果，永远应警钟长鸣。

· 2009年和2010年，美国和以色列共同启动了一条名为Stuxnet的代码，该代码摧毁了伊朗核浓缩离心机，让其核计划瞬间“流产”。

· 2016年12月，俄罗斯使用一种称为Industroyer或Crash Override的恶意软件，在乌克兰首都基辅短暂断电。

· 2017年，身份不明的黑客在沙特一家炼油厂部署了一种名为Triton或Trisis的恶意软件，旨在禁用安全系统。而这些攻击方式，特别是Triton攻击，有可能造成身体混乱，直接威胁目标设施内部人员的安全。

美伊关系紧张加剧，APT33持续升级，网络战成为国与国博弈重要手段

过去，APT33主要针对沙特和美国。在美国总统特朗普宣布，美国退出伊朗核协议后，伊朗情报和安全机构进行了一系列改革，改组后伊朗革命卫队的军衔和声望有所提高，派出了更多的鹰派官员，袭击也变得更加频繁，而APT33的力量也跟随着不断增强。

此外，APT33的潜在升级也正是在伊美关系紧张的时刻发生的：

今年6月-9月，美伊在网络战上持续的你来我往。智库在《美官员爆料：沙特石油“核心”遭袭后，美对伊打响“网络复仇战”》与《海湾局势再度告急，伊朗炼油厂大火，疑似为网络攻击“复仇”反击》文章中有过详细盘点。

而此处，想重点提及的是，今年6月20日下午，APT33的密码喷洒活动从每天数以千万计的攻击尝试下降到零，这表明APT33的基础结构可能受到了打击。

而这次事件与《The New York Times》曾援引美国一位高级官员的话，爆料：今年6月，美网军就对伊朗发动了网络攻击，摧毁了伊朗革命卫队使用的一个关键数据库（也就是《美官员爆料：沙特石油“核心”遭袭后，美对伊打响“网络复仇战”》文章中重点提及的），这一事件时间点不谋而合。

可以说，此次的爆料再次有利地佐证了网络战已经成为当今国与国博弈的重要手段，网络战正在成为当今国与国之间最主要的作战方式。该事件的汇报者莫兰就感慨到：

“他们正在试图向对手传达信息，并试图强迫和改变他们的行为。当您看到无人驾驶飞机袭击沙特的一个提取设施时，当您看到油轮被摧毁时……我的直觉说他们想在网络上做同样的事情。”

其他资料：关于APT33组织的介绍

关于APT33的相关活动，智库也做了一些简单整理，供感兴趣的小伙伴查阅：

APT33是伊朗国家级黑客组织。该组织针对的是美国、沙特和韩国的多个行业，其中尤其关注航空和能源领域。

有安全研究机构认为，APT33被发现于2012年，并认为APT33是开发出名为Shamoon（DistTrack）的磁盘擦除恶意软件的组织。Shamoon恶意代码曾在2012年攻击过沙特Aramco国家石油公司和卡塔尔Rasgas天然气公司，并在2012年摧毁了沙特的Saudi Aramco油气公司超过35,000个工作站。此后又肆虐了欧洲和中东。 

此外，还有资料显示，APT33于2015年底或2016年初首次活跃。该组织专门研究扫描易受攻击的网站，并使用它来识别潜在目标，以攻击或创建命令与控制（C＆C）基础结构。该组织的目标包括政府以及研究，化学，工程，制造，咨询，金融，电信和其他多个部门的组织。 

从2016年中至2017年初，APT33入侵了美国一家航空航天领域的组织，并试图攻击一个位于沙特的一家拥有航空控股的企业。与此同时，APT33还针对韩国的与石油化工有关的公司发起过攻击。

2017年5月，APT33试图入侵一些沙特和韩国的企业，威胁行为者试图引诱一家沙特石油化工公司的员工打开一个伪造的职位应聘文档（实际上为恶意文件）。 

2018年12月12日，意大利石油服务公司塞佩姆（Saipem）证实，该公司近期感染了臭名昭著的病毒变种，导致停运。据路透社报道，该攻击关闭了该公司的300台服务器和100台计算机，Saipem说，它正在努力从备份中恢复受攻击影响的运营。值得注意的是，沙特阿美是Saipem的最大客户。

文章参考链接：

https://www.wired.com/story/iran-apt33-industrial-control-systems/

https://finance.yahoo.com/news/iranian-hackers-planning-attack-key-200000186.html 

文章来源于：国际安全智库