Monen lisenssin alennustarjous
Tietokoneturva Varo! Iranin kyberhyökkäykset uhkaavat kriittistä...

Varo! Iranin kyberhyökkäykset uhkaavat kriittistä infrastruktuuria käynnissä olevassa maailmanlaajuisessa kampanjassa

Vuonna Mura vuonna Tietokoneturva
Käännä:
Suomi

Jatkuvasti kehittyvässä kyberuhkien maailmassa yksi hälyttävimmistä trendeistä on kriittiseen infrastruktuuriin kohdistuvien valtion tukemien kyberhyökkäysten lisääntyminen. Viimeaikaiset yhteiset neuvot kyberturvallisuus- ja tiedustelupalveluilta Yhdysvalloissa, Australiassa ja Kanadassa paljastavat Iranin kybertoimijoiden meneillään olevan vuoden kestävän kampanjan, joka on suunnattu keskeisille aloille, kuten terveydenhuolto, energia, hallinto ja tietotekniikka.

Iranin kyberhyökkäysten takana olevat menetelmät

Iranilaiset kybertoimijat ovat lokakuusta 2023 lähtien käyttäneet raakoja hyökkäyksiä ja salasanojen levittämistä soluttautuakseen organisaatioihin . Näihin taktiikoihin kuuluu systemaattinen salasanojen arvailu ja kirjautumisjärjestelmien ylivoimainen käyttö, jotta käyttäjätileihin päästään luvatta. Alat, kuten terveydenhuolto, suunnittelu ja julkiset palvelut, ovat ensisijaisia kohteita, kun otetaan huomioon niiden herkkyys ja merkitys.

Yksi nouseva taktiikka, jota nämä hyökkääjät käyttävät, on multi-factor authentication (MFA) -työntöpommitukset, joka tunnetaan myös nimellä MFA fatigue. Täyttääkseen käyttäjiä toistuvilla MFA-pyynnöillä hyökkääjät toivovat ärsyttävänsä tai hämmentävänsä uhreja hyväksymään pääsyn tahattomasti. Tenablen kyberturvallisuuden asiantuntija Ray Carney ehdottaa tietojenkalastelutiivistä MFA:ta tai numeroiden täsmäytyksen käyttöä turvallisemman todennusprosessin takaamiseksi.

Näiden hyökkäysten ensisijaisena tavoitteena on varastaa käyttäjätiedot ja yksityiskohtaiset verkkotiedot, jotka sitten myydään maanalaisilla foorumeilla. Tämä luo muille kyberrikollisille mahdollisuuksia hyödyntää vaarantuneita järjestelmiä myöhempään hyökkäykseen, mikä on sopusoinnussa valtion tukemien ryhmien ja järjestäytyneen kyberrikollisuuden välisen yhteistyön laajemman kyberturvallisuusmaiseman kanssa.

Kehittyneet hyökkäystekniikat

Ensimmäisen pääsyn jälkeen iranilaiset hyökkääjät tekevät yleensä perusteellisen tiedustelun kohteen järjestelmiin. He käyttävät "living off-the-land" (LotL) -työkaluja, jotka hyödyntävät organisaation omaa infrastruktuuria pysyäkseen havaitsemattomina. Etuoikeuksien eskaloinnin hyväksikäytöt, kuten tunnettu Zerologon-haavoittuvuus (CVE-2020-1472), auttavat hyökkääjiä siirtymään syvemmälle järjestelmiin.

Monissa tapauksissa hyökkääjät hyödyntävät etätyöpöytäprotokollia (RDP) ja työkaluja, kuten Cobalt Strikea, luodakseen komento- ja ohjausyhteyksiä (C2). Erityisesti he rekisteröivät joskus omia laitteitaan MFA-järjestelmiin, mikä antaa heille mahdollisuuden ylläpitää jatkuvaa pääsyä pitkiä aikoja herättämättä epäilyksiä.

Kohdistus Active Directoryyn ja sen ulkopuolelle

Iranilaiset kybertoimijat keskittyvät yhä enemmän vaarantamaan Active Directoryn, joka on monien yritysten IT-ympäristöjen selkäranka. Active Directorylla on ratkaiseva rooli käyttäjien todennuksen ja käyttöoikeuksien hallinnassa verkkojen välillä. Tämän järjestelmän kompromissi antaa hyökkääjille mahdollisuuden laajentaa oikeuksia, jolloin he voivat käyttää erittäin arkaluonteisia tietoja ja hallita kriittisiä järjestelmiä.

Viimeaikaiset muutokset globaalissa uhkakuvassa viittaavat myös kansallisvaltioiden hakkerointiryhmien ja kyberrikollisjärjestöjen väliseen yhteistyöhön. Microsoftin vuoden 2024 digitaalinen puolustusraportti korostaa, että Iranin valtion tukemat hyökkääjät eivät harjoita operaatioita vain geopoliittisista syistä, vaan heitä motivoi myös taloudellinen hyöty. Ulkoistamalla osia toiminnastaan kyberrikollisille he laajentavat ulottuvuuttaan säilyttäen samalla matalamman profiilin.

Mitä organisaatiot voivat tehdä

Näiden riskien vähentämiseksi kohdealojen organisaatioiden on ryhdyttävä ennakoiviin toimiin:

  • Ota phishing-suojattu MFA käyttöön aina kun mahdollista. Jos se ei ole mahdollista, käytä numeroiden täsmäämistä toissijaisena todennusvaihtoehtona.
  • Tarkkaile ja korjaa säännöllisesti haavoittuvuuksia, erityisesti Active Directoryssa ja muissa kriittisissä järjestelmissä.
  • Kouluta työntekijöitä tunnistamaan MFA-väsymyksen merkit ja rohkaise heitä ilmoittamaan epäilyttävistä kirjautumisyrityksistä.
  • Tarkkaile verkkoliikennettä epätavallisen toiminnan varalta, erityisesti lähteviä yhteyksiä tunnettuun C2-infrastruktuuriin.
  • Tee yhteistyötä valtion virastojen ja alan toimijoiden kanssa pysyäksesi ajan tasalla puolustusalan uusimmista uhista ja parhaista käytännöistä.

Tie edessä

Kun kyberhyökkäykset kehittyvät ja kietoutuvat globaaleihin geopoliittisiin tavoitteisiin, yritysten on oltava valppaina. Iranilaisten kybertoimijoiden vuoden kestänyt kampanja on jyrkkä muistutus siitä, että vahvimmatkin turvajärjestelmät voivat vaarantua ilman kunnollista puolustusta.

Näiden uhkien edellä pysyminen vaatii jatkuvaa sopeutumista, yhteistyötä ja sitoutumista kyberturvallisuuden parhaisiin käytäntöihin. Vaikka mikään järjestelmä ei ole läpäisemätön, tietoisilla ja valmistautuneilla organisaatioilla on paljon paremmat mahdollisuudet kestää kasvavaa kyberhyökkäysten aaltoa.

Ladataan...