Slevová nabídka pro více licencí
Počítačová bezpečnost Pozor! Íránské kybernetické útoky ohrožují kritickou...

Pozor! Íránské kybernetické útoky ohrožují kritickou infrastrukturu v probíhající globální kampani

V roce Mura v roce Počítačová bezpečnost
Přeložit do:
Čeština

V neustále se vyvíjejícím světě kybernetických hrozeb je jedním z nejvíce alarmujících trendů nárůst státem podporovaných kybernetických útoků zaměřených na kritickou infrastrukturu . Nedávná společná doporučení od kybernetických bezpečnostních a zpravodajských agentur v USA, Austrálii a Kanadě odhalují probíhající celoroční kampaň íránských kybernetických aktérů zaměřenou na klíčové sektory, jako je zdravotnictví, energetika, vláda a informační technologie.

Metody za íránskými kyberútoky

Od října 2023 používají íránští kybernetičtí aktéři k infiltraci organizací útoky hrubou silou a sprejování hesel . Tyto taktiky zahrnují systematické hádání hesel a zahlcení přihlašovacích systémů k získání neoprávněného přístupu k uživatelským účtům. Odvětví jako zdravotnictví, strojírenství a vládní služby jsou primárními cíli vzhledem k jejich citlivosti a důležitosti.

Jednou z nově vznikajících taktik používaných těmito útočníky je vícefaktorové ověřování (MFA) push bombing, také známé jako únava z MFA. Útočníci doufají, že zaplavením uživatelů opakovanými žádostmi o MFA obtěžují nebo zmást oběti, aby neúmyslně schválili přístup. Ray Carney, odborník na kybernetickou bezpečnost ze společnosti Tenable, navrhuje použití MFA odolného proti phishingu nebo použití porovnávání čísel pro bezpečnější proces ověřování.

Primárním cílem těchto útoků je ukrást přihlašovací údaje a podrobné informace o síti, které se pak prodávají na podzemních fórech. To vytváří příležitosti pro další kyberzločince, aby zneužili kompromitované systémy k dalším útokům, což je v souladu s širším prostředím kybernetické bezpečnosti spolupráce mezi státem podporovanými skupinami a organizovaným kyberzločinem.

Pokročilé techniky útoku

Po počátečním přístupu íránští útočníci obvykle provádějí důkladný průzkum systémů cíle. Používají nástroje „living-off-the-land“ (LotL), které využívají vlastní infrastrukturu organizace, aby zůstaly neodhaleny. Zneužití eskalace privilegií, jako je známá zranitelnost Zerologon (CVE-2020-1472), pomáhá útočníkům proniknout hlouběji do systémů.

V mnoha případech útočníci využívají protokoly vzdálené plochy (RDP) a nástroje jako Cobalt Strike k navázání spojení příkazů a řízení (C2). Pozoruhodné je, že někdy registrují svá vlastní zařízení v systémech MFA, což jim umožňuje udržovat trvalý přístup po dlouhou dobu, aniž by vyvolalo podezření.

Cílení na Active Directory a další

Íránští kybernetičtí aktéři se stále více zaměřují na kompromitování Active Directory, páteře mnoha podnikových IT prostředí. Služba Active Directory hraje klíčovou roli při správě ověřování uživatelů a oprávnění napříč sítěmi. Kompromis tohoto systému umožňuje útočníkům eskalovat oprávnění, což jim umožňuje přístup k vysoce citlivým informacím a kontrolu nad kritickými systémy.

Nedávné změny v oblasti globálních hrozeb také ukazují na trend spolupráce mezi hackerskými skupinami národních států a kyberzločineckými organizacemi. Zpráva společnosti Microsoft o digitální obraně 2024 zdůrazňuje, že íránští státem podporovaní útočníci neprovádějí operace pouze z geopolitických důvodů, ale jsou také motivováni finančním ziskem. Outsourcingem části svých operací kyberzločincům rozšiřují svůj dosah a zároveň si zachovávají nižší profil.

Co mohou organizace dělat

Pro zmírnění těchto rizik musí organizace v cílových sektorech přijmout proaktivní opatření:

  • Kdekoli je to možné, implementujte MFA odolné proti phishingu. Pokud to není možné, použijte jako sekundární možnost ověřování shodu čísel.
  • Pravidelně auditujte a opravujte zranitelná místa, zejména v Active Directory a dalších kritických systémech.
  • Vyškolte zaměstnance, aby rozpoznali známky únavy MFA, a povzbuďte je, aby hlásili podezřelé pokusy o přihlášení.
  • Sledujte neobvyklou aktivitu v síťovém provozu, zejména odchozí připojení ke známé infrastruktuře C2.
  • Spolupracujte s vládními agenturami a průmyslovými partnery, abyste byli informováni o nejnovějších hrozbách a osvědčených postupech pro obranu.

Cesta vpřed

Jak se kybernetické útoky stávají sofistikovanějšími a prolínají se s globálními geopolitickými cíli, podniky musí být ostražité. Celoroční kampaň íránských kybernetických aktérů slouží jako jasná připomínka toho, že i ty nejrobustnější bezpečnostní systémy mohou být ohroženy bez řádné ochrany.

Udržet si náskok před těmito hrozbami vyžaduje neustálé přizpůsobování, spolupráci a závazek k osvědčeným postupům v oblasti kybernetické bezpečnosti. I když žádný systém není nepropustný, informované a připravené organizace mají mnohem větší šanci odolat rostoucí vlně kybernetických útoků.

Načítání...