伊朗駭客入侵美國電網、油氣公司

• 發布日期：109-01-17
• 發布單位：刑事警察大隊

參考網站：
行政院國家資通安全會報技術服務中心 伊朗駭客入侵美國電網、油氣公司https://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=16344
媒體Wired引述資安公司Dragos最新發布，名為「North American Electric Cyber Threat Perspective」報告，近期傳聞與伊朗政府相關Magnallium駭客組織正積極活動中，該組織又名APT33、Refined Kitten或Elfin。Dragos偵測到Magnallium已成功駭入美國電廠、煉油及天然氣公司網路。

報告指出，伊朗駭客使用「密碼潑灑」(password spraying)手法，即以特定簡單常見之密碼組合，針對目標企業帳號進行破解測試，藉此進入受害企業網路。不過Dragos研究人員發現，有另一個名為Parisite駭客組織也參與Magnallium行動，但前者是利用美國油、電公司之VPN軟體漏洞入侵公司內網。根據Dragos追蹤，Magnallium與Parisite從2019年起，就一直頻繁活動並延續至今，且Magnallium攻擊對象也不限於美國能源業，2018年也曾攻擊沙烏地阿拉伯、南韓石化廠及美國航太產業。該報告並未說明駭客活動是否導致美國企業資料損失，不過指出未有跡象顯示伊朗駭客已成功駭入電網、油氣設施實體控制設備軟體。

另一方面，沙烏地阿拉伯國家網路安全署(National Cybersecurity Authority)下之國家網路安全中心(National Cyber Security Center, NCSC)，也於近期對該國能源相關企業發出警告，因為2019/12/29在巴林國家煉油廠一名員工電腦上，偵測到一支能刪除電腦資料的惡意程式，NCSC將之稱為Dustman。沙國研究人員相信它利用VPN軟體漏洞，藉由VPN連線取得受害公司網域管理員帳密，最後在其內網電腦上自我複製。不過這次所發現的Dustman攻擊，似乎是伊朗持續進行之駭客活動，與1月美、伊衝突事件沒有直接關係。