Ettevaatust! Iraani küberrünnakud ohustavad käimasoleva ülemaailmse kampaania kriitilist infrastruktuuri
Pidevalt arenevas küberohtude maailmas on üks murettekitavamaid suundumusi riigi toetatud küberrünnakute tõus kriitilisele infrastruktuurile . USA, Austraalia ja Kanada küberjulgeoleku- ja luureagentuuride hiljutised ühised nõuanded näitavad Iraani küberosaliste käimasolevat aastapikkust kampaaniat, mis on suunatud sellistele võtmesektoritele nagu tervishoid, energeetika, valitsus ja infotehnoloogia.
Sisukord
Iraani küberrünnakute taga olevad meetodid
Alates 2023. aasta oktoobrist on Iraani küberosalised rakendanud organisatsioonidesse imbumiseks jõhkra jõu rünnakuid ja paroolide pihustamist . Need taktikad hõlmavad süstemaatiliselt paroolide äraarvamist ja sisselogimissüsteemide ülekoormamist, et saada volitamata juurdepääs kasutajakontodele. Sellised sektorid nagu tervishoid, inseneriteenused ja valitsusteenused on nende tundlikkust ja tähtsust arvestades peamised sihtmärgid.
Üks esilekerkiv taktika, mida need ründajad kasutavad, on mitmefaktorilise autentimise (MFA) tõukepommitamine, mida tuntakse ka kui MFA väsimust. Ujutades kasutajaid korduvate MFA taotlustega, loodavad ründajad ohvreid ärritada või segadusse ajada, et nad lubavad juurdepääsu tahtmatult heaks. Tenable'i küberturvalisuse ekspert Ray Carney soovitab turvalisema autentimisprotsessi jaoks kasutada andmepüügikindlat MFA-d või numbrite sobitamist.
Nende rünnakute peamine eesmärk on varastada mandaate ja üksikasjalikku võrguteavet, mida seejärel maa-alustes foorumites müüakse. See loob teistele küberkurjategijatele võimalused kasutada ohustatud süsteeme edasisteks rünnakuteks, kohanedes riigi toetatud rühmade ja organiseeritud küberkuritegevuse vahelise koostöö laiema küberjulgeoleku maastikuga.
Täiustatud ründetehnikad
Pärast esmast juurdepääsu teostavad Iraani ründajad tavaliselt sihtmärgi süsteemide põhjalikku luuret. Nad kasutavad nn maalt elamise (LotL) tööriistu, mis kasutavad organisatsiooni enda infrastruktuuri, et jääda märkamatuks. Privileegide eskaleerimise ärakasutamine, nagu tuntud Zerologoni haavatavus (CVE-2020-1472), aitavad ründajatel süsteemidesse sügavamale liikuda.
Paljudel juhtudel kasutavad ründajad käsu-ja juhtimise (C2) ühenduste loomiseks kaugtöölaua protokolle (RDP) ja tööriistu, nagu Cobalt Strike. Nimelt registreerivad nad mõnikord oma seadmed MFA-süsteemidega, võimaldades neil pikka aega püsivat juurdepääsu ilma kahtlust tekitamata.
Sihtimine Active Directory ja kaugemale
Iraani küberosalised keskenduvad üha enam Active Directory kompromiteerimisele, mis on paljude ettevõtete IT-keskkondade selgroog. Active Directory mängib olulist rolli kasutajate autentimise ja lubade haldamisel võrkudes. Selle süsteemi kompromiss võimaldab ründajatel suurendada privileege, andes neile juurdepääsu väga tundlikule teabele ja kontrolli kriitiliste süsteemide üle.
Hiljutised muutused ülemaailmsel ohumaastikul viitavad ka rahvusriikide häkkimisrühmituste ja küberkurjategijate organisatsioonide koostöö suundumusele. Microsofti 2024. aasta digitaalse kaitse aruanne rõhutab, et Iraani riiklikult toetatud ründajad ei teosta operatsioone mitte ainult geopoliitilistel põhjustel, vaid neid motiveerib ka rahaline kasu. Tellides osa oma tegevustest küberkurjategijatele, laiendavad nad oma haaret, säilitades samal ajal madalama profiili.
Mida organisatsioonid saavad teha
Nende riskide maandamiseks peavad sihtsektorite organisatsioonid võtma ennetavaid meetmeid:
- Võimaluse korral rakendage andmepüügikindlat MFA-d. Kui see pole teostatav, kasutage sekundaarse autentimisvalikuna numbrite sobitamist.
- Kontrollige regulaarselt ja parandage turvaauke, eriti Active Directorys ja muudes kriitilistes süsteemides.
- Koolitage töötajaid MFA väsimuse märke ära tundma ja julgustage neid kahtlastest sisselogimiskatsetest teatama.
- Jälgige võrguliiklust ebatavaliste tegevuste suhtes, eriti väljaminevaid ühendusi teadaoleva C2 infrastruktuuriga.
- Tehke koostööd valitsusasutuste ja tööstuse kolleegidega, et olla kursis viimaste kaitseohtude ja parimate tavadega.
Tee Ees
Kuna küberrünnakud muutuvad keerukamaks ja põimuvad globaalsete geopoliitiliste eesmärkidega, peavad ettevõtted olema valvsad. Iraani küberosaliste aastapikkune kampaania tuletab meelde, et isegi kõige tugevamaid turvasüsteeme võib ohustada ilma korraliku kaitseta.
Nendest ohtudest ette jäämine nõuab pidevat kohanemist, koostööd ja pühendumist küberturvalisuse parimatele tavadele. Kuigi ükski süsteem pole läbitungimatu, on teadlikel ja ettevalmistatud organisatsioonidel palju paremad võimalused kasvavale küberrünnakute lainele vastu seista.