微软根据黑客试图破解的账户数量对这些目标进行了排名;莫兰说，前25名中大约有一半是工业控制系统设备的制造商、供应商或维修工。微软表示，自10月中旬以来，APT33总共瞄准了数十家这样的工业设备和软件公司。

 

黑客的动机——以及他们实际上破坏了哪些工业控制系统——仍不清楚。莫兰推测，该组织正在寻求一个立足点，沐鸣开户测速以实施具有物理破坏性影响的网络攻击。莫兰说:“他们正在追查这些生产商和控制系统制造商，但我认为他们不是最终目标。”“他们试图找到下游客户，找出他们是如何工作的，以及谁在使用他们。他们希望对使用这些控制系统的关键基础设施造成一些伤害。”

 

考虑到APT33的历史，这一转变是一个令人不安的举动。虽然莫兰说，微软还没有看到APT33实施破坏性网络攻击的直接证据，而不仅仅是间谍或侦察活动，但它已经看到该组织至少为这些攻击奠定了基础。莫兰说，该组织的指纹在多次入侵中被发现，受害者后来被一种名为Shamoon的数据清除恶意软件攻击。McAfee去年警告说，APT33——或者一个假装是APT33的组织，它的hedge——正在部署一个新版本的Shamoon，进行一系列破坏数据的攻击。威胁情报公司火眼(FireEye)自2017年以来一直警告称，APT33与另一段破坏性代码Shapeshifter有关。

 

莫兰拒绝透露APT33黑客攻击的具体工业控制系统、ICS、公司或产品的名称。但他警告称，该组织针对这些控制系统的行动表明，伊朗可能寻求的不仅仅是在其网络攻击中清除电脑。它可能希望影响实体基础设施。这些攻击在国家支持的黑客攻击史上很少见，但其影响令人不安;例如，在2009年和2010年，美国和以色列联合发布了一段名为“震网”(Stuxnet)的代码，摧毁了伊朗的核浓缩离心机。2016年12月，俄罗斯使用了一款名为Industroyer或Crash Override的恶意软件，导致乌克兰首都基辅短暂停电。2017年，不明国籍的黑客在沙特阿拉伯的一家炼油厂部署了一款名为Triton或Trisis的恶意软件，目的是破坏安全系统。其中一些攻击——尤其是triton——有可能造成人身伤害，威胁目标设施内人员的安全。

 

伊朗从未被公开与这些ICS攻击联系在一起。但微软的新目标表明，沐鸣开户测速它可能正在努力开发这些能力。莫兰说:“考虑到他们以前的破坏性攻击方式，他们攻击ICS是理所当然的。”

 

但是安全公司Crowdstrike的情报副总裁亚当·迈耶斯(Adam Meyers)警告说，不要对APT33新发现的重点做过多解读。他们很容易就会专注于间谍活动。“以集成电路为目标可能是实施破坏性攻击的一种手段，也可能是进入许多能源公司的一种简便方法，因为能源公司依赖这些技术，”迈耶斯说。“他们更有可能打开来自他们的电子邮件，或安装来自他们的软件。”

 

这一潜在的升级发生在伊朗与美国关系的紧张时刻。今年6月，美国指责伊朗使用limpet地雷在霍尔木兹海峡(Strait of Hormuz)炸毁两艘油轮，并击落一架美国无人机。然后在9月，伊朗支持的胡塞叛军对沙特的石油设施发动了一次无人机袭击，导致沙特的石油产量暂时减少了一半。

 

莫兰指出，据报道，伊朗6月的攻击在一定程度上得到了美国网络司令部对伊朗情报基础设施的攻击的回应。事实上，6月20日下午，微软发现APT33的密码攻击活动从每天数千万次下降到零，这表明APT33的基础设施可能受到了攻击。但莫兰说，大约一周后，密码喷雾恢复到正常水平。

 

莫兰将伊朗破坏性的网络攻击与美国指责伊朗实施的物理破坏行为相提并论。这两种手段都会破坏和恐吓区域内的敌对势力——如果他们的黑客能够从单纯的数字效果升级到物理效果，那么前者会做得更多。

 

莫兰说:“他们试图向对手传递信息，并试图迫使和改变对手的行为。”“当你看到无人驾驶飞机袭击沙特阿拉伯的一个提取设施，当你看到油轮被摧毁……我的直觉告诉我，他们也想在网络上这么做。”