在美国暗杀伊朗将军Qasem Soleimani以及随后进行的报复性导弹袭击之后，伊朗观察家警告说，该国也可能部署网络攻击，甚至可能针对美国关键基础设施，例如电网。一份新的报告为这种威胁的性质提供了一些新的细节：从表面上看，伊朗黑客目前没有能力开始在美国造成停电。但是，在两国之间的紧张关系趋于缓和之前，他们一直在努力获得美国电力公司的服务。

在星期四上午，工业控制系统安全公司Dragos 详细介绍了新近发现的黑客活动，该活动已被追踪并归因于一群被称为Magnallium的政府资助的黑客。同一小组也被称为APT33，精致的小猫或小精灵，以前与伊朗有联系。德拉戈斯说，它已经观察到Magnallium开展了广泛的所谓的密码喷雾攻击活动，这种攻击针对数百个甚至数千个不同的帐户猜测一组通用密码，这些密码针对美国的电力公司以及石油和天然气公司。

一家安全公司称，德拉戈斯称其为Parisite的一个相关组织显然已经与Magnallium合作，试图通过利用虚拟专用网络软件中的漏洞来进入美国的电力公司和石油天然气公司。这两个组织的联合入侵活动贯穿了整个2019年，并一直持续到今天。

德拉戈斯拒绝评论这些活动是否导致实际违规。该报告清楚地表明，尽管对IT系统进行了调查，但他们没有迹象表明伊朗黑客可以访问控制电网运营商或油气设施中物理设备的更为专业的软件。特别是在电力公司，以数字方式引发停电要比德拉戈斯在其报告中描述的技术复杂得多。

但是，德拉戈斯的创始人和前国家安全局关键基础设施威胁情报分析师罗伯·李认为，考虑到伊朗反击威胁的威胁，基础设施所有者仍应注意这场运动。他们不仅应该考虑破坏网络的新尝试，而且还应该考虑那些系统已经受到威胁的可能性。李说：“我对伊朗局势的担心并不是我们会看到一些新的大型行动爆发。” “我所关心的是小组可能已经拥有的访问权限。”

Dragos分析师Joe Slowik警告说，Dragos观察到的密码喷雾和VPN黑客攻击活动不仅限于电网运营商或石油和天然气。但他还说，伊朗对包括电力公司在内的关键基础设施目标表现出了“绝对的兴趣”。“以这种普遍的方式做事，虽然看起来没有针对性，草率或嘈杂，但允许他们尝试相对快速，廉价地建立多个访问点，这些访问点可以在他们选择的时候扩展为后续活动， ” Slowik说，他曾担任能源部事件响应小组负责人。

据报道，伊朗的黑客此前曾破坏过美国的电力公司，为美国电力公司以及俄罗斯和中国的潜在攻击奠定了基础。美国黑客在其他国家也是如此。但是，随着奥巴马政府与伊朗达成的核协议破裂以及自从星期二晚上伊朗的导弹袭击以来，美国和伊朗之间的紧张局势有所缓和，这波电网探测浪潮将代表一个新的战役。

德拉戈斯（Dragos）描述的密码喷雾活动与Microsoft的类似发现相匹配。微软在11月透露，它已经看到Magnallium在类似的时间表上进行了密码喷雾活动，但针对的是电力控制，石油和天然气设施以及其他工业环境中使用的那种工业控制系统供应商。微软当时警告说，这种密码泄露活动可能是破坏活动的第一步，尽管其他分析家指出，这也可能是针对工业间谍活动的。

Dragos拒绝分享其观察到的巴黎人试图利用的VPN漏洞的详细信息。但是ZDNet今天单独报告说，伊朗黑客利用Pulse Secure或Fortinet VPN服务器中的漏洞在巴林的国家石油公司Bapco内植入抽头恶意软件。安全公司Devcore去年的报告发现，Pulse Secure和Fortinet的VPN以及Palo Alto Networks出售的VPN都存在漏洞。

Lee警告说，尽管Magnallium和Parisite对电网进行了探测，但Dragos的发现不应引起对潜在停电的恐慌。尽管伊朗表现出对工业控制系统黑客的兴趣，但没有迹象表明成功开发出可以破坏诸如断路器之类的物理设备的工具和技术。Lee说：“我还没有看到他们能够对基础架构造成重大破坏或破坏的任何能力。”

但这并不意味着伊朗对电力公司或石油天然气公司的入侵就不会引起关注。安全公司FireEye的情报总监John Hultquist曾以APT33的名称追踪Magnallium多年，他警告说，入侵Magnallium常常导致较不复杂但严重的破坏行为。该组织与破坏了数千台计算机的网络攻击有关，所谓的雨刮恶意软件操作已经袭击了整个海湾地区的伊朗对手。他们可能无法关灯，但他们可能会破坏电力公司的计算机网络。

霍特奎斯特说：“我们知道他们的能力。” “我们一次又一次地看到它们抹去了公司用来经营业务的驱动器，业务中断了，这使他们付出了巨额财富。”