Pas på! Iranske cyberangreb truer kritisk infrastruktur i igangværende global kampagne
I den stadigt udviklende verden af cybertrusler er en af de mest alarmerende tendenser stigningen i statssponsorerede cyberangreb rettet mod kritisk infrastruktur . Nylige fælles råd fra cybersikkerheds- og efterretningsbureauer i USA, Australien og Canada afslører en igangværende år lang kampagne af iranske cyberaktører rettet mod nøglesektorer som sundhedspleje, energi, regering og informationsteknologi.
Indholdsfortegnelse
Metoderne bag iranske cyberangreb
Siden oktober 2023 har iranske cyberaktører brugt brute-force-angreb og adgangskodespray for at infiltrere organisationer . Disse taktikker involverer systematisk gætte adgangskoder og overvældende login-systemer for at få uautoriseret adgang til brugerkonti. Sektorer som sundhedspleje, ingeniørvirksomhed og offentlige tjenester er primære mål på grund af deres følsomhed og betydning.
En ny taktik, der bruges af disse angribere, er multi-factor authentication (MFA) push bombning, også kendt som MFA fatigue. Ved at oversvømme brugere med gentagne MFA-anmodninger håber angriberne at irritere eller forvirre ofrene til utilsigtet at godkende adgang. Ray Carney, en cybersikkerhedsekspert hos Tenable, foreslår at bruge phishing-resistent MFA eller at anvende nummermatchning for en sikrere godkendelsesproces.
Det primære mål med disse angreb er at stjæle legitimationsoplysninger og detaljerede netværksoplysninger, som derefter sælges på underjordiske fora. Dette skaber muligheder for andre cyberkriminelle til at udnytte kompromitterede systemer til yderligere angreb, hvilket er tilpasset det bredere cybersikkerhedslandskab af samarbejde mellem statssponserede grupper og organiseret cyberkriminalitet.
Avancerede angrebsteknikker
Efter den første adgang udfører iranske angribere typisk en grundig rekognoscering af målets systemer. De bruger "living-off-the-land" (LotL) værktøjer, som bruger organisationens egen infrastruktur til at forblive uopdaget. Udnyttelse af privilegie-eskalering, såsom den velkendte Zerologon-sårbarhed (CVE-2020-1472), hjælper angribere med at bevæge sig dybere ind i systemerne.
I mange tilfælde udnytter angribere fjernskrivebordsprotokoller (RDP) og værktøjer som Cobalt Strike til at etablere kommando-og-kontrol (C2) forbindelser. Især registrerer de nogle gange deres egne enheder med MFA-systemer, hvilket giver dem mulighed for at opretholde vedvarende adgang over lange perioder uden at vække mistanke.
Målretning af Active Directory og videre
Iranske cyberaktører fokuserer i stigende grad på at kompromittere Active Directory, som er rygraden i mange virksomheds-it-miljøer. Active Directory spiller en afgørende rolle i håndteringen af brugergodkendelse og tilladelser på tværs af netværk. Kompromiset med dette system giver angribere mulighed for at eskalere privilegier, hvilket giver dem adgang til meget følsomme oplysninger og kontrol over kritiske systemer.
Nylige skift i det globale trussellandskab peger også på en tendens til samarbejde mellem nationalstatslige hackergrupper og cyberkriminelle organisationer. Microsofts 2024 Digital Defense Report fremhæver, at iranske statssponserede angribere ikke kun udfører operationer af geopolitiske årsager, men også er motiveret af økonomisk gevinst. Ved at outsource dele af deres operationer til cyberkriminelle udvider de deres rækkevidde, mens de bevarer en lavere profil.
Hvad organisationer kan gøre
For at afbøde disse risici skal organisationer i målrettede sektorer træffe proaktive foranstaltninger:
- Implementer phishing-resistent MFA, hvor det er muligt. Hvis det ikke er muligt, skal du bruge nummermatchning som en sekundær godkendelsesmulighed.
- Revider regelmæssigt og patch sårbarheder, især i Active Directory og andre kritiske systemer.
- Træn medarbejderne til at genkende tegn på MFA-træthed og opmuntre dem til at rapportere mistænkelige loginforsøg.
- Overvåg netværkstrafikken for usædvanlig aktivitet, især udgående forbindelser til kendt C2-infrastruktur.
- Samarbejd med offentlige myndigheder og branchekolleger for at holde dig orienteret om de seneste trusler og bedste praksis for forsvar.
Vejen frem
Efterhånden som cyberangreb bliver mere sofistikerede og flettet sammen med globale geopolitiske mål, skal virksomheder være på vagt. Den årelange kampagne fra iranske cyberaktører tjener som en skarp påmindelse om, at selv de mest robuste sikkerhedssystemer kan kompromitteres uden ordentligt forsvar på plads.
At være på forkant med disse trusler kræver konstant tilpasning, samarbejde og en forpligtelse til bedste praksis for cybersikkerhed. Selvom intet system er uigennemtrængeligt, har informerede og forberedte organisationer en langt bedre chance for at modstå den voksende bølge af cyberangreb.