Buzz
Động cơ của những hacker—và hệ thống kiểm soát công nghiệp nào mà họ đã thực sự xâm nhập—vẫn chưa rõ. Moran suy đoán rằng nhóm này đang cố gắng giành một vị thế để tiến hành các cuộc tấn công mạng với tác động gây rối vật lý. "Họ đang tìm kiếm những nhà sản xuất và nhà sản xuất hệ thống kiểm soát này, nhưng tôi không nghĩ rằng họ là mục tiêu cuối cùng," Moran nói. "Họ đang cố gắng tìm khách hàng ở hạ lưu, để tìm hiểu họ hoạt động như thế nào và ai sử dụng chúng. Họ đang muốn gây ra một số đau đớn đối với cơ sở hạ tầng quan trọng của ai đó sử dụng những hệ thống kiểm soát này."
Sự chuyển động đánh dấu một bước đi lo lắng từ APT33 đặc biệt, xét theo lịch sử của nó. Mặc dù Moran nói rằng Microsoft chưa thấy bằng chứng trực tiếp về APT33 tiến hành một cuộc tấn công mạng gây rối thay vì gián điệp hoặc tìm hiểu trước, nhưng đã xuất hiện các sự cố nơi nhóm ít nhất là đã chuẩn bị cho những cuộc tấn công đó. Dấu vết của nhóm đã xuất hiện trong nhiều xâm nhập khác nơi nạn nhân sau đó bị tấn công bằng một loại phần mềm đánh mất dữ liệu được biết đến là Shamoon, Moran nói. McAfee cảnh báo năm ngoái rằng APT33—hoặc một nhóm giả vờ là APT33, nói chung—đang triển khai một phiên bản mới của Shamoon trong một loạt các cuộc tấn công phá hủy dữ liệu. Công ty tình báo đe dọa FireEye đã cảnh báo từ năm 2017 rằng APT33 có liên kết với một mã độc hại khác được biết đến là Shapeshifter.
Moran từ chối nêu tên bất kỳ hệ thống kiểm soát công nghiệp cụ thể nào, hoặc công ty hoặc sản phẩm ICS, bị nhóm hacker APT33 nhắm đến. Nhưng ông cảnh báo rằng việc nhóm tập trung vào những hệ thống kiểm soát đó cho thấy Iran có thể đang cố gắng vượt xa việc chỉ xóa máy tính trong các cuộc tấn công mạng của mình. Có thể hy vọng làm ảnh hưởng đến cơ sở hạ tầng vật lý. Những cuộc tấn công đó hiếm khi xuất hiện trong lịch sử hack do nhà nước, nhưng đáng lo ngại về tác động của chúng; vào năm 2009 và 2010, Hoa Kỳ và Israel cùng phát hành một mã độc hại được biết đến là Stuxnet, chẳng hạn, để phá hủy các máy ly tâm làm giàu uranium của Iran. Vào tháng 12 năm 2016, Nga đã sử dụng một mã độc hại được biết đến là Industroyer hoặc Crash Override để tạm thời gây mất điện ở thủ đô Ukraine Kyiv. Và những hacker không xác định quốc tịch triển khai một mã độc hại được biết đến là Triton hoặc Trisis trong một nhà máy lọc dầu ở Ả Rập Saudi vào năm 2017 được thiết kế để vô hiệu hóa hệ thống an toàn. Một số cuộc tấn công đó—đặc biệt là Triton—có khả năng gây ra hỗn loạn vật lý đe dọa an toàn của nhân viên bên trong các cơ sở được mục tiêu.
Iran chưa bao giờ được liên kết công khai với một trong những cuộc tấn công ICS đó. Nhưng việc nhắm mục mới mà Microsoft đã nhìn thấy cho thấy có thể đang phát triển những khả năng đó. "Với phương thức hoạt động phá hủy trước đó của họ, có lý do để nghĩ rằng họ đang theo đuổi ICS," Moran nói.
Tuy nhiên, Adam Meyers, phó chủ tịch thông tin tại công ty an ninh Crowdstrike, cảnh báo không nên đọc quá nhiều vào sự tập trung mới của APT33. Chúng cũng có thể tập trung vào gián điệp một cách dễ dàng. "Nhắm vào ICS có thể là một phương tiện để tiến hành một cuộc tấn công gây rối hoặc phá hủy, hoặc nó có thể là một cách dễ dàng để tiếp cận nhiều công ty năng lượng, vì các công ty năng lượng phụ thuộc vào những công nghệ đó," Meyers nói. "Họ có khả năng mở một email từ họ hoặc cài đặt phần mềm từ họ."
Khả năng leo thang xảy ra trong bối cảnh căng thẳng trong quan hệ Mỹ-Iran. Vào tháng 6, Mỹ buộc tội Iran đã sử dụng mìn limpet để tạo lỗ trong hai tàu chở dầu ở eo biển Hormuz, cũng như bắn hạ một máy bay không người lái của Mỹ. Sau đó, vào tháng 9, phe Houthi do Iran hậu thuẫn thực hiện một cuộc tấn công bằng máy bay không người lái vào cơ sở sản xuất dầu của Saudi, tạm thời làm giảm một nửa sản lượng dầu của quốc gia này.
Moran lưu ý rằng cuộc tấn công của Iran vào tháng 6 đã được đáp lại một phần thông qua một cuộc tấn công của US Cyber Command vào cơ sở hạ tầng tình báo Iran. Thực tế, Microsoft thấy hoạt động phun mật khẩu của APT33 giảm từ hàng chục triệu lần thử hack mỗi ngày xuống không vào chiều ngày 20 tháng 6, ngụ ý rằng cơ sở hạ tầng của APT33 có thể đã bị tấn công. Nhưng Moran nói rằng việc phun mật khẩu trở lại mức bình thường của nó khoảng một tuần sau đó.
Moran so sánh những cuộc tấn công mạng gây rối của Iran với những hành động phá hủy vật lý mà Mỹ đã buộc tội Iran thực hiện. Cả hai đều làm cho khu vực mất ổn định và đe dọa đối thủ trong khu vực—và những cuộc tấn công mạng có thể làm điều đó ngay cả nhiều hơn nếu những hacker của họ có thể chuyển từ tác động kỹ thuật số đơn thuần sang tác động vật lý.
"Họ đang cố gắng truyền đạt thông điệp đến đối thủ của họ và cố gắng thúc đẩy và thay đổi hành vi của đối thủ," Moran nói. "Khi bạn thấy một cuộc tấn công của máy bay không người lái vào một cơ sở chiết xuất ở Ả Rập Saudi, khi bạn thấy các tàu chở dầu bị phá hủy... Bản năng của tôi nói rằng họ muốn làm điều tương tự trong không gian mạng."
Những điều tuyệt vời khác từ Mytour
- Star Wars: Ngoài Sự Trỗi Dậy của Skywalker
- Cách thiết kế ngốc nghếch của một chiếc máy bay Thế chiến 2 dẫn đến Macintosh
- Hacker có thể sử dụng tia laser để “nói” với Amazon Echo của bạn
- Xe điện—và sự phi lý—có thể cứu cánh cho hệ thống chuyển số
- Các bộ đồng sáng tạo của Trung Quốc khiến Hollywood phải xấu hổ
- 👁 Một cách an toàn hơn để bảo vệ dữ liệu của bạn; ngoài ra, tin tức mới nhất về Trí tuệ Nhân tạo
- ✨ Tối ưu hóa cuộc sống gia đình của bạn với những lựa chọn tốt nhất từ đội ngũ Gear của chúng tôi, từ robot hút bụi đến đệm giá rẻ đến loa thông minh.
