Több licencre vonatkozó kedvezményes árajánlat
Számítógépes biztonság Óvakodik! Az iráni kibertámadások kritikus...

Óvakodik! Az iráni kibertámadások kritikus infrastruktúrát fenyegetnek a folyamatban lévő globális kampányban

Mura -ra Számítógépes biztonság-ben
Fordítás ide:
Magyar

A kiberfenyegetések folyamatosan fejlődő világában az egyik legriasztóbb trend a kritikus infrastruktúrákat célzó, államilag támogatott kibertámadások térnyerése. Az Egyesült Államok, Ausztrália és Kanada kiberbiztonsági és hírszerző ügynökségei által a közelmúltban megjelent közös tanácsok rávilágítanak az iráni kiberszereplők egy éven át tartó kampányára, amely olyan kulcsfontosságú ágazatokat céloz meg, mint az egészségügy, az energiaügy, a kormányzat és az információs technológia.

Az iráni kibertámadások mögött meghúzódó módszerek

2023 októbere óta az iráni kiberszereplők brute force támadásokat és jelszószórást alkalmaznak, hogy beszivárogjanak a szervezetekbe . Ezek a taktikák magukban foglalják a jelszavak szisztematikus kitalálását és a bejelentkezési rendszerek túlnyomó részét a felhasználói fiókokhoz való jogosulatlan hozzáférés érdekében. Az olyan ágazatok, mint az egészségügy, a mérnöki szolgáltatások és a kormányzati szolgáltatások, az elsődleges célpontok érzékenységük és fontosságuk miatt.

A támadók által alkalmazott egyik feltörekvő taktika a többtényezős hitelesítés (MFA) push bombázás, más néven MFA fáradtság. Azáltal, hogy a felhasználókat ismételt MFA-kérésekkel árasztják el, a támadók azt remélik, hogy bosszantják vagy összezavarják az áldozatokat, hogy akaratlanul is jóváhagyják a hozzáférést. Ray Carney, a Tenable kiberbiztonsági szakértője az adathalászat-ellenálló MFA vagy a számegyeztetés alkalmazását javasolja a biztonságosabb hitelesítési folyamat érdekében.

E támadások elsődleges célja a hitelesítő adatok és a részletes hálózati információk ellopása, amelyeket aztán földalatti fórumokon értékesítenek. Ez lehetőséget teremt más kiberbűnözők számára, hogy további támadásokra aknázzák ki a kompromittált rendszereket, igazodva az államilag támogatott csoportok és a szervezett kiberbűnözés közötti együttműködés tágabb kiberbiztonsági környezetéhez.

Fejlett támadási technikák

A kezdeti hozzáférés után az iráni támadók általában alapos felderítést végeznek a célpont rendszereiben. „LotL” (Living-off-the-land) eszközöket használnak, amelyek a szervezet saját infrastruktúráját használják fel, hogy észrevétlenül maradjanak. A privilégiumok eszkalációját kihasználó eszközök, mint például a jól ismert Zerologon sebezhetőség (CVE-2020-1472), segítik a támadókat, hogy mélyebbre lépjenek a rendszerekbe.

A támadók sok esetben távoli asztali protokollokat (RDP) és olyan eszközöket használnak, mint a Cobalt Strike, hogy parancs- és vezérlési (C2) kapcsolatokat hozzanak létre. Figyelemre méltó, hogy néha regisztrálják saját eszközeiket az MFA-rendszerekben, lehetővé téve számukra, hogy hosszú ideig fenntartsák a folyamatos hozzáférést anélkül, hogy gyanút keltenének.

Az Active Directory és azon túl célzás

Az iráni kiberszereplők egyre inkább az Active Directory kompromittálására összpontosítanak, amely számos vállalati IT-környezet gerince. Az Active Directory kulcsfontosságú szerepet játszik a felhasználók hitelesítésének és engedélyeinek kezelésében a hálózatokon keresztül. A rendszer kompromittálása lehetővé teszi a támadók számára a jogosultságok kiterjesztését, hozzáférést biztosítva számukra a rendkívül érzékeny információkhoz és a kritikus rendszerek feletti ellenőrzéshez.

A globális fenyegetettség világában a közelmúltban bekövetkezett változások a nemzetállami hackercsoportok és a kiberbûnözõ szervezetek közötti együttmûködés tendenciájára is utalnak. A Microsoft 2024-es digitális védelmi jelentése kiemeli, hogy az iráni állam által támogatott támadók nemcsak geopolitikai okokból hajtanak végre műveleteket, hanem anyagi haszonszerzés is motiválja őket. Azáltal, hogy műveleteik egy részét kiberenzi a kiberbűnözők, kiterjesztik hatókörüket, miközben alacsonyabb profilt tartanak fenn.

Mit tehetnek a szervezetek

E kockázatok mérséklése érdekében a megcélzott ágazatokban működő szervezeteknek proaktív intézkedéseket kell tenniük:

  • Ha lehetséges, alkalmazzon adathalászat-ellenálló MFA-t. Ha ez nem lehetséges, használja a számegyeztetést másodlagos hitelesítési lehetőségként.
  • Rendszeresen ellenőrizze és javítsa ki a sebezhetőségeket, különösen az Active Directoryban és más kritikus rendszerekben.
  • Tanítsa meg az alkalmazottakat, hogy felismerjék az MFA-fáradtság jeleit, és bátorítsa őket, hogy jelentsék a gyanús bejelentkezési kísérleteket.
  • Figyelje a hálózati forgalmat a szokatlan tevékenységekre, különösen a kimenő kapcsolatokra az ismert C2 infrastruktúrához.
  • Együttműködjön kormányzati ügynökségekkel és iparági partnerekkel, hogy tájékozódjon a legújabb fenyegetésekről és a védelmi legjobb gyakorlatokról.

Az út előttünk

Ahogy a kibertámadások egyre kifinomultabbak és összefonódnak a globális geopolitikai célkitűzésekkel, a vállalkozásoknak ébernek kell lenniük. Az iráni kiberszereplők egy éven át tartó kampánya határozottan emlékeztet arra, hogy megfelelő védelem nélkül még a legerősebb biztonsági rendszerek is veszélybe kerülhetnek.

E fenyegetések megelőzéséhez folyamatos alkalmazkodás, együttműködés és a legjobb kiberbiztonsági gyakorlatok iránti elkötelezettség szükséges. Bár egyetlen rendszer sem áthatolhatatlan, a tájékozott és felkészült szervezetek sokkal nagyobb eséllyel tudnak ellenállni a növekvő kibertámadási hullámnak.

Betöltés...