Пази се! Иранските кибератаки заплашват критична инфраструктура в продължаващата глобална кампания
В непрекъснато развиващия се свят на кибернетични заплахи, една от най-тревожните тенденции е нарастването на спонсорираните от държавата кибератаки, насочени към критична инфраструктура . Скорошни съвместни съвети от агенции за киберсигурност и разузнаване в САЩ, Австралия и Канада разкриват продължаваща целогодишна кампания от ирански кибер участници, насочена към ключови сектори като здравеопазване, енергетика, правителство и информационни технологии.
Съдържание
Методите зад иранските кибератаки
От октомври 2023 г. иранските кибер актьори използват атаки с груба сила и разпръскване на пароли, за да проникнат в организации . Тези тактики включват систематично отгатване на пароли и непосилни системи за влизане, за да се получи неоторизиран достъп до потребителски акаунти. Сектори като здравеопазване, инженерство и държавни услуги са основни цели, като се има предвид тяхната чувствителност и важност.
Една нововъзникваща тактика, използвана от тези нападатели, е многофакторно удостоверяване (MFA) push bombing, известно още като MFA умора. Като заливат потребителите с повтарящи се заявки за MFA, нападателите се надяват да дразнят или объркат жертвите да одобрят неволно достъп. Рей Карни, експерт по киберсигурност в Tenable, предлага да се използва устойчива на фишинг MFA или да се използва съвпадение на номера за по-безопасен процес на удостоверяване.
Основната цел на тези атаки е да се откраднат идентификационни данни и подробна мрежова информация, която след това се продава в подземни форуми. Това създава възможности за други киберпрестъпници да експлоатират компрометирани системи за по-нататъшни атаки, привеждайки се в съответствие с по-широкия пейзаж на киберсигурността на сътрудничество между спонсорирани от държавата групи и организирана киберпрестъпност.
Усъвършенствани техники за атака
След първоначалния достъп иранските нападатели обикновено извършват цялостно разузнаване на системите на целта. Те използват инструменти за „живеене извън земята“ (LotL), които използват собствената инфраструктура на организацията, за да останат незабелязани. Експлойти за ескалация на привилегии, като добре известната уязвимост на Zerologon (CVE-2020-1472), помагат на атакуващите да навлязат по-дълбоко в системите.
В много случаи нападателите използват протоколи за отдалечен работен плот (RDP) и инструменти като Cobalt Strike, за да установят командно-контролни (C2) връзки. По-специално, те понякога регистрират собствените си устройства в MFA системи, което им позволява да поддържат постоянен достъп за дълги периоди, без да предизвикват подозрение.
Насочване към Active Directory и извън него
Иранските кибер участници все повече се фокусират върху компрометирането на Active Directory, гръбнакът на много корпоративни ИТ среди. Active Directory играе решаваща роля в управлението на удостоверяването на потребителите и разрешенията в мрежите. Компрометирането на тази система позволява на атакуващите да ескалират привилегиите, давайки им достъп до изключително чувствителна информация и контрол над критични системи.
Скорошните промени в пейзажа на глобалните заплахи също сочат тенденция на сътрудничество между хакерски групи от национални държави и киберпрестъпни организации. Докладът на Microsoft за цифровата отбрана за 2024 г. подчертава, че иранските държавно спонсорирани нападатели не само провеждат операции по геополитически причини, но също така са мотивирани от финансова печалба. Като възлагат части от своите операции на киберпрестъпници, те разширяват обхвата си, като същевременно поддържат по-нисък профил.
Какво могат да направят организациите
За да намалят тези рискове, организациите в целевите сектори трябва да предприемат проактивни мерки:
- Внедрете устойчив на фишинг MFA, когато е възможно. Ако това не е възможно, използвайте съпоставяне на номера като вторична опция за удостоверяване.
- Редовно проверявайте и коригирайте уязвимости, особено в Active Directory и други критични системи.
- Обучете служителите да разпознават признаците на умора от MFA и ги насърчете да докладват за подозрителни опити за влизане.
- Наблюдавайте мрежовия трафик за необичайна дейност, особено изходящи връзки към известна C2 инфраструктура.
- Сътрудничете с правителствени агенции и колеги от индустрията, за да бъдете информирани за най-новите заплахи и най-добри практики за отбрана.
Пътят напред
Тъй като кибератаките стават все по-сложни и преплетени с глобални геополитически цели, бизнесът трябва да бъде бдителен. Цялогодишната кампания на иранските кибер актьори служи като ярко напомняне, че дори и най-стабилните системи за сигурност могат да бъдат компрометирани без подходяща защита.
Изпреварването на тези заплахи изисква постоянно адаптиране, сътрудничество и ангажираност към най-добрите практики за киберсигурност. Въпреки че никоя система не е непроницаема, информираните и подготвени организации имат много по-голям шанс да устоят на нарастващата вълна от кибератаки.