הצעת הנחה מרובה רישיונות
אבטחת מחשבים לְהִזָהֵר! מתקפות סייבר איראניות מאיימות על תשתית קריטית...

לְהִזָהֵר! מתקפות סייבר איראניות מאיימות על תשתית קריטית בקמפיין עולמי מתמשך

עד Mura ב-אבטחת מחשבים
לתרגם ל:
עברית

בעולם ההולך ומתפתח של איומי סייבר, אחת המגמות המדאיגות ביותר היא עלייתן של התקפות סייבר בחסות המדינה המכוונות לתשתית קריטית . ייעוץ משותף אחרון של סוכנויות אבטחת סייבר ומודיעין ברחבי ארה"ב, אוסטרליה וקנדה חושפים קמפיין מתמשך שנמשך שנה של שחקני סייבר איראניים המיועד למגזרי מפתח כמו בריאות, אנרגיה, ממשלה וטכנולוגיית מידע.

השיטות מאחורי מתקפות הסייבר האיראניות

מאז אוקטובר 2023, שחקני סייבר איראנים השתמשו בהתקפות בכוח גס ובריסוס סיסמאות כדי לחדור לארגונים . טקטיקות אלו כוללות ניחוש שיטתי של סיסמאות ומערכות כניסה מוחצות כדי לקבל גישה לא מורשית לחשבונות משתמש. מגזרים כמו שירותי בריאות, הנדסה ושירותים ממשלתיים הם יעדים עיקריים, לאור רגישותם וחשיבותם.

אחת הטקטיקה המתפתחת בה משתמשים התוקפים הללו היא הפצצת דחיפה של אימות רב-גורמי (MFA), הידועה גם בשם MFA Faigue. על ידי הצפת משתמשים בבקשות חוזרות ונשנות של MFA, התוקפים מקווים לעצבן או לבלבל את הקורבנות לאישור גישה לא מכוון. ריי קרני, מומחה לאבטחת סייבר ב-Tenable, מציע להשתמש ב-MFA עמיד להתחזות או להשתמש בהתאמת מספרים לתהליך אימות בטוח יותר.

המטרה העיקרית של התקפות אלו היא לגנוב אישורים ומידע מפורט על הרשת, שנמכר לאחר מכן בפורומים מחתרתיים. זה יוצר הזדמנויות עבור פושעי סייבר אחרים לנצל מערכות שנפגעו לצורך התקפות נוספות, תוך התאמה עם נוף אבטחת הסייבר הרחב יותר של שיתוף פעולה בין קבוצות בחסות המדינה ופשעי סייבר מאורגנים.

טכניקות תקיפה מתקדמות

לאחר גישה ראשונית, תוקפים איראנים מבצעים בדרך כלל סיור יסודי של מערכות המטרה. הם משתמשים בכלי "לחיות מחוץ לאדמה" (LotL), המנצלים את התשתית של הארגון עצמו כדי להישאר בלתי מזוהה. ניצול של הסלמה של הרשאות, כמו פגיעות ה-Zerologon הידועה (CVE-2020-1472), עוזרים לתוקפים לעבור עמוק יותר לתוך מערכות.

במקרים רבים, תוקפים ממנפים פרוטוקולים של שולחן עבודה מרוחק (RDP) וכלים כמו Cobalt Strike כדי ליצור חיבורי פיקוד ושליטה (C2). יש לציין, לפעמים הם רושמים את המכשירים שלהם עם מערכות MFA, מה שמאפשר להם לשמור על גישה מתמשכת לאורך תקופות ארוכות מבלי לעורר חשד.

מיקוד ל-Active Directory ומעבר לכך

שחקני סייבר איראניים מתמקדים יותר ויותר בפגיעה ב-Active Directory, עמוד השדרה של סביבות IT ארגוניות רבות. Active Directory ממלאת תפקיד מכריע בניהול אימות משתמשים והרשאות ברחבי רשתות. הפשרה של מערכת זו מאפשרת לתוקפים להסלים את ההרשאות, מה שמעניק להם גישה למידע רגיש ביותר ושליטה במערכות קריטיות.

שינויים אחרונים בנוף האיומים העולמי מצביעים גם על מגמה של שיתוף פעולה בין קבוצות פריצה של מדינות לאום וארגוני פושעי סייבר. דו"ח ההגנה הדיגיטלית של מיקרוסופט לשנת 2024 מדגיש שתוקפים בחסות המדינה האיראנית לא רק מבצעים פעולות מסיבות גיאופוליטיות אלא גם מונעים מרווח כספי. על ידי מיקור חוץ של חלקים מהפעילות שלהם לפושעי סייבר, הם מרחיבים את טווח ההגעה שלהם תוך שמירה על פרופיל נמוך יותר.

מה ארגונים יכולים לעשות

כדי להפחית סיכונים אלה, ארגונים במגזרים ממוקדים חייבים לנקוט באמצעים יזומים:

  • יישם MFA עמיד בפני פישינג בכל מקום אפשרי. אם זה לא אפשרי, השתמש בהתאמת מספרים כאפשרות אימות משנית.
  • בדוק ותיקונים באופן קבוע פגיעויות, במיוחד ב-Active Directory ובמערכות קריטיות אחרות.
  • הדרכת עובדים לזהות את סימני עייפות ה-MFA ועודד אותם לדווח על ניסיונות התחברות חשודים.
  • מעקב אחר תעבורת רשת עבור פעילות חריגה, במיוחד חיבורים יוצאים לתשתית C2 ידועה.
  • שתף פעולה עם סוכנויות ממשלתיות ועמיתים בתעשייה כדי להישאר מעודכן לגבי האיומים האחרונים ושיטות העבודה המומלצות להגנה.

הדרך קדימה

ככל שהתקפות הסייבר הופכות מתוחכמות יותר ומשתלבות ביעדים גיאופוליטיים גלובליים, עסקים חייבים להיות ערניים. הקמפיין שנמשך שנה של שחקני סייבר איראנים משמש תזכורת חדה לכך שאפילו מערכות האבטחה החזקות ביותר יכולות להיפגע ללא הגנות מתאימות.

הישארות לפני האיומים הללו דורשת הסתגלות מתמדת, שיתוף פעולה ומחויבות לשיטות עבודה מומלצות לאבטחת סייבר. אף על פי שאף מערכת אינה אטומה, לארגונים מושכלים ומוכנים יש סיכוי הרבה יותר טוב לעמוד בגל ההולך וגדל של מתקפות סייבר.

טוען...