Иранските хакери са извършители на някои от най-вредните актове на дигитален саботаж през последното десетилетие. Съсипвали са цели компютърни мрежи във вълни от кибератаки из Близкия Изток, и понякога дори в САЩ.
Сега една от най-активните ирански хакерски групи изглежда е променила целта си. Вместо стандартни ИТ мрежи, те са се насочили срещу системите за физически контрол, използвани в електроцентрали, производството и петролните рафинерии.
На провелата се наскоро конференция CyberwarCon в Арлингтън, в американския щат Вирджиния, изследователят на сигурността от Microsoft Нед Моран представи нови констатации на тяхната група за анализ на заплахите. От показаното става ясно, че активността на иранската хакерска група APT33, също известна под имената Holmium, Refined Kitten и Elfin, се измества в нови посоки.
Microsoft са наблюдавали групата да извършва така наречените "password spraying" атаки през последната година – т.е. APT33 са изпробвали само няколко разпространени пароли в акаунти на десетки хиляди организации.
Това обикновено се счита за груба и безразборна форма на хакване. Microsoft обаче посочват, че в последните два месеца APT33 доста са стеснили своята стратегия на "password spraying" до около 2000 организации месечно, като същевременно са увеличили броя акаунти, таргетирани във всяка от тези организации — средно почти десеткратно.
Microsoft са подредили тези мишени по броя акаунти, които хакерите са се опитали да разбият. Моран коментира, че около половината от топ 25 са били производители, доставчици или занимаващи се с поддръжка на оборудване и системи за индустриален контрол. APT33 са таргетирали десетки от тези фирми за индустриално оборудване и софтуер от средата на октомври насам.
Мотивацията на хакерите остава неясна, неизвестно е и кои точно системи за индустриален контрол са успели да пробият те. Моран твърди, че групата се стреми да се утвърди в тази ниша, за да провежда кибератаки с материален подривен ефект.
"Те атакуват тези производители и доставчици на контролни системи, но не мисля, че те са крайните мишени. Опитват се да намерят крайните клиенти, да разберат как работят те и кой ги използва. Стремят се да нанесат известни щети върху нечия критична инфраструктура, която използва тези системи за контрол", коментира Моран.
Тази промяна представлява притеснителен ход конкретно от страна на APT33, като се има предвид историята на групата. Въпреки че Моран казва, че Microsoft не са забелязали преки доказателства за извършване от APT33 на разрушителни кибератаки, а по-скоро на шпионаж или разузнаване, компанията е виждала инциденти, в които групата като минимум е полагала основите за тези атаки.
Следата на групата проличава в многобройни пробиви, където жертвите впоследствие са били ударени с изтриващ данни зловреден софтуер, известен като Shamoon.
McAfee миналата година предупредиха, че APT33 — или група, представяща се за APT33 — е прилагала нова версия на Shamoon в поредица от атаки за унищожаване на данни. Фирмата за анализ на заплахи FireEye предупреждава от 2017-а, че APT33 имат връзки с друг деструктивен код, известен като Shapeshifter.
Моран отказва да назове конкретните системи за индустриален контрол (ICS), компании или продукти, таргетирани от хакерите на APT33.
Той обаче предупреждава, че насочването на групата към тези системи за контрол показва, че Иран може би се стреми да премине отвъд изтриването на данни в компютри при кибератаките си.
Хакерите може да се надяват да окажат влияние на физическа инфраструктура.
Тези атаки са редки в историята на насърчавано от държавата хакване, но обезпокоителни заради своя ефект; през 2009 и 2010 г. САЩ и Израел колективно пуснаха код, известен като Stuxnet, който унищожи ирански центрофуги за обогатяване на уран. През декември 2016 г. Русия използва зловреден софтуер, известен като Industroyer или Crash Override, за да постигне за кратко спиране на тока в украинската столица Киев. Хакери от неизвестна националност използваха зловреден софтуер, известен като Triton или Trisis, в саудитска петролна рафинерия през 2017 г., който имаше за цел да деактивира системите за безопасност.
Някои от тези атаки — особено Triton — са имали потенциала да причинят материална разруха, заплашваща безопасността на персонала в конкретните съоръжения.
Иран никога не е бил публично свързан с някоя от тези атаки срещу ICS. Но новото таргетиране, наблюдавано от Microsoft, показва, че страната може да работи активно за развиване на този си капацитет. "Като се имат предвид предишните им методи на действие при разрушителни атаки, има известна логика те да се насочат към ICS", посочва Моран.
Адам Майерс, вицепрезидент по разузнаването в компанията за сигурност Crowdstrike, препоръчва да не се правят такива мащабни изводи от новооткритата насоченост на APT33. Те може също така просто да са се фокусирали върху шпионажа.
"Таргетирането на ICS може да е начин за извършване на деструктивна или нарушаваща инфраструктурата атака, или да е лесен начин да се проникне в много енергийни компании, защото енергийните компании разчитат на тези технологии", казва Майерс.
Тази потенциална ескелация се случва в напрегнат момент в отношенията между Иран и САЩ. През юни САЩ обвиниха Иран в употреба на магнитни мини за причиняване на щети по два петролни танкера в Ормузкия проток, както и в сваляне на американски дрон. После през септември подкрепяни от Иран бунтовници хути извършиха атака с дронове срещу саудитски петролни рафинерии, като временно намалиха наполовина производството на петрол в страната.
Моран посочва твърдения, че иранските атаки през юни вече са получили отговор, а именно атака от кибер-командването на САЩ срещу иранска разузнавателна инфраструктура.
Всъщност, Microsoft са наблюдавали активността на APT33 по "password spraying" да спада от десетки милиони опити за хакване дневно до нула в следобеда на 20 юни, което показва, че е възможно инфраструктурата на APT33 да е била засегната. Моран обаче коментира, че активността по "password spraying" се е върнала към първоначалните си нива около седмица по-късно.
Моран сравнява иранските разрушителни кибератаки с актовете на физически саботаж, в които САЩ обвиняват Иран. И двете дестабилизират и сплашват регионални противници — а първото може да постигне и още повече, ако хакерите еволюират и вместо дигитални щети започнат да нанасят физически такива.
"Те се опитват да изпратят послание до враговете си и да променят поведението на противника. Когато виждате атака с дронове срещу петролодобивни съоръжения в Саудитска Арабия, когато виждате унищожаване на танкери... Усещането ми е, че те искат да постигнат същото и в кибер-военната област", казва в заключение Моран.
