Εκπτωτική προσφορά πολλαπλών αδειών
Ασφάλεια Υπολογιστών Προσέχω! Οι ιρανικές κυβερνοεπιθέσεις απειλούν την...

Προσέχω! Οι ιρανικές κυβερνοεπιθέσεις απειλούν την κρίσιμη υποδομή σε μια συνεχιζόμενη παγκόσμια εκστρατεία

Μέχρι το Mura το Ασφάλεια Υπολογιστών
Μετάφραση σε:
Ελληνικά

Στον συνεχώς εξελισσόμενο κόσμο των απειλών στον κυβερνοχώρο, μια από τις πιο ανησυχητικές τάσεις είναι η άνοδος κυβερνοεπιθέσεων που χρηματοδοτούνται από το κράτος και στοχεύουν κρίσιμες υποδομές . Πρόσφατες κοινές συμβουλές από υπηρεσίες κυβερνοασφάλειας και πληροφοριών από τις ΗΠΑ, την Αυστραλία και τον Καναδά αποκαλύπτουν μια συνεχιζόμενη εκστρατεία διάρκειας ενός έτους από Ιρανούς φορείς του κυβερνοχώρου που στοχεύει σε βασικούς τομείς όπως η υγειονομική περίθαλψη, η ενέργεια, η κυβέρνηση και η τεχνολογία πληροφοριών.

Οι μέθοδοι πίσω από τις ιρανικές κυβερνοεπιθέσεις

Από τον Οκτώβριο του 2023, οι Ιρανοί κυβερνοτελεστές έχουν χρησιμοποιήσει επιθέσεις ωμής βίας και ψεκασμό κωδικών πρόσβασης για να διεισδύσουν σε οργανισμούς . Αυτές οι τακτικές περιλαμβάνουν συστηματική εικασία κωδικών πρόσβασης και συντριπτικά συστήματα σύνδεσης για την απόκτηση μη εξουσιοδοτημένης πρόσβασης σε λογαριασμούς χρηστών. Τομείς όπως η υγειονομική περίθαλψη, η μηχανική και οι κρατικές υπηρεσίες αποτελούν πρωταρχικούς στόχους, δεδομένης της ευαισθησίας και της σημασίας τους.

Μια αναδυόμενη τακτική που χρησιμοποιείται από αυτούς τους επιτιθέμενους είναι ο βομβαρδισμός ώθησης με έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), γνωστός και ως κόπωση MFA. Πλημμυρίζοντας χρήστες με επαναλαμβανόμενα αιτήματα MFA, οι εισβολείς ελπίζουν να ενοχλήσουν ή να μπερδέψουν τα θύματα ώστε να εγκρίνουν ακούσια την πρόσβαση. Ο Ray Carney, ειδικός στον τομέα της κυβερνοασφάλειας στην Tenable, προτείνει τη χρήση MFA ανθεκτικής στο phishing ή τη χρήση αντιστοίχισης αριθμών για μια ασφαλέστερη διαδικασία ελέγχου ταυτότητας.

Ο πρωταρχικός στόχος αυτών των επιθέσεων είναι η κλοπή διαπιστευτηρίων και λεπτομερών πληροφοριών δικτύου, οι οποίες στη συνέχεια πωλούνται σε υπόγεια φόρουμ. Αυτό δημιουργεί ευκαιρίες για άλλους εγκληματίες του κυβερνοχώρου να εκμεταλλευτούν παραβιασμένα συστήματα για περαιτέρω επιθέσεις, ευθυγραμμίζοντας με το ευρύτερο τοπίο της κυβερνοασφάλειας της συνεργασίας μεταξύ ομάδων που χρηματοδοτούνται από το κράτος και οργανωμένου εγκλήματος στον κυβερνοχώρο.

Προηγμένες τεχνικές επίθεσης

Μετά την αρχική πρόσβαση, οι Ιρανοί επιτιθέμενοι πραγματοποιούν συνήθως ενδελεχή αναγνώριση των συστημάτων του στόχου. Χρησιμοποιούν εργαλεία "living-off-the-land" (LotL), τα οποία χρησιμοποιούν την υποδομή του ίδιου του οργανισμού για να παραμείνουν απαρατήρητοι. Οι εκμεταλλεύσεις κλιμάκωσης προνομίων, όπως η γνωστή ευπάθεια Zerologon (CVE-2020-1472), βοηθούν τους εισβολείς να προχωρήσουν βαθύτερα στα συστήματα.

Σε πολλές περιπτώσεις, οι εισβολείς αξιοποιούν πρωτόκολλα απομακρυσμένης επιφάνειας εργασίας (RDP) και εργαλεία όπως το Cobalt Strike για να δημιουργήσουν συνδέσεις εντολής και ελέγχου (C2). Συγκεκριμένα, μερικές φορές καταχωρούν τις δικές τους συσκευές σε συστήματα MFA, επιτρέποντάς τους να διατηρούν επίμονη πρόσβαση για μεγάλα χρονικά διαστήματα χωρίς να δημιουργούν υποψίες.

Στόχευση Active Directory και πέρα

Οι Ιρανοί κυβερνοχώροι εστιάζουν ολοένα και περισσότερο στην παραβίαση της Active Directory, τη ραχοκοκαλιά πολλών εταιρικών περιβαλλόντων πληροφορικής. Η υπηρεσία καταλόγου Active Directory διαδραματίζει κρίσιμο ρόλο στη διαχείριση του ελέγχου ταυτότητας χρήστη και των αδειών στα δίκτυα. Ο συμβιβασμός αυτού του συστήματος επιτρέπει στους εισβολείς να κλιμακώσουν τα προνόμια, δίνοντάς τους πρόσβαση σε εξαιρετικά ευαίσθητες πληροφορίες και έλεγχο κρίσιμων συστημάτων.

Οι πρόσφατες αλλαγές στο τοπίο της παγκόσμιας απειλής υποδεικνύουν επίσης μια τάση συνεργασίας μεταξύ ομάδων πειρατείας εθνικών κρατών και οργανώσεων εγκληματιών στον κυβερνοχώρο. Η Έκθεση Ψηφιακής Άμυνας 2024 της Microsoft υπογραμμίζει ότι οι επιτιθέμενοι που χρηματοδοτούνται από το Ιράν δεν διεξάγουν μόνο επιχειρήσεις για γεωπολιτικούς λόγους, αλλά υποκινούνται επίσης από οικονομικό κέρδος. Με την εξωτερική ανάθεση τμημάτων των δραστηριοτήτων τους σε εγκληματίες του κυβερνοχώρου, επεκτείνουν την εμβέλειά τους, διατηρώντας παράλληλα χαμηλότερο προφίλ.

Τι μπορούν να κάνουν οι οργανισμοί

Για τον μετριασμό αυτών των κινδύνων, οι οργανισμοί σε στοχευμένους τομείς πρέπει να λαμβάνουν προληπτικά μέτρα:

  • Εφαρμόστε MFA ανθεκτικό στο phishing όπου είναι δυνατόν. Εάν δεν είναι εφικτό, χρησιμοποιήστε την αντιστοίχιση αριθμού ως δευτερεύουσα επιλογή ελέγχου ταυτότητας.
  • Ελέγχετε τακτικά και διορθώνετε ευπάθειες, ιδιαίτερα στην υπηρεσία καταλόγου Active Directory και άλλα κρίσιμα συστήματα.
  • Εκπαιδεύστε τους υπαλλήλους να αναγνωρίζουν τα σημάδια κόπωσης του MFA και ενθαρρύνετέ τους να αναφέρουν ύποπτες προσπάθειες σύνδεσης.
  • Παρακολουθήστε την κυκλοφορία δικτύου για ασυνήθιστη δραστηριότητα, ειδικά εξερχόμενες συνδέσεις σε γνωστή υποδομή C2.
  • Συνεργαστείτε με κυβερνητικούς φορείς και συναδέλφους του κλάδου για να μείνετε ενημερωμένοι σχετικά με τις τελευταίες απειλές και τις βέλτιστες πρακτικές για την άμυνα.

Ο δρόμος μπροστά

Καθώς οι επιθέσεις στον κυβερνοχώρο γίνονται πιο εξελιγμένες και συνυφασμένες με παγκόσμιους γεωπολιτικούς στόχους, οι επιχειρήσεις πρέπει να είναι σε επαγρύπνηση. Η εκστρατεία ενός έτους από Ιρανούς φορείς του κυβερνοχώρου χρησιμεύει ως μια έντονη υπενθύμιση ότι ακόμη και τα πιο ισχυρά συστήματα ασφαλείας μπορούν να τεθούν σε κίνδυνο χωρίς την κατάλληλη άμυνα.

Η παραμονή μπροστά σε αυτές τις απειλές απαιτεί συνεχή προσαρμογή, συνεργασία και δέσμευση στις βέλτιστες πρακτικές για την ασφάλεια στον κυβερνοχώρο. Αν και κανένα σύστημα δεν είναι αδιαπέραστο, οι ενημερωμένοι και προετοιμασμένοι οργανισμοί έχουν πολύ περισσότερες πιθανότητες να αντέξουν το αυξανόμενο κύμα κυβερνοεπιθέσεων.

Φόρτωση...