Attenzione! Gli attacchi informatici iraniani minacciano le infrastrutture critiche in una campagna globale in corso
Nel mondo in continua evoluzione delle minacce informatiche, una delle tendenze più allarmanti è l'aumento degli attacchi informatici sponsorizzati dallo stato che prendono di mira infrastrutture critiche . Recenti avvisi congiunti di agenzie di sicurezza informatica e intelligence di Stati Uniti, Australia e Canada rivelano una campagna in corso da un anno da parte di attori informatici iraniani mirata a settori chiave come sanità, energia, governo e tecnologia informatica.
Sommario
I metodi dietro gli attacchi informatici iraniani
Da ottobre 2023, gli attori informatici iraniani hanno impiegato attacchi brute-force e password spraying per infiltrarsi nelle organizzazioni . Queste tattiche comportano l'indovinare sistematicamente le password e il sovraccarico dei sistemi di accesso per ottenere l'accesso non autorizzato agli account utente. Settori come sanità, ingegneria e servizi governativi sono obiettivi principali, data la loro sensibilità e importanza.
Una tattica emergente usata da questi aggressori è il push bombing dell'autenticazione a più fattori (MFA), noto anche come stanchezza MFA. Inondando gli utenti con ripetute richieste MFA, gli aggressori sperano di infastidire o confondere le vittime, inducendole ad approvare involontariamente l'accesso. Ray Carney, esperto di sicurezza informatica presso Tenable, suggerisce di usare MFA resistente al phishing o di impiegare il number matching per un processo di autenticazione più sicuro.
L'obiettivo primario di questi attacchi è rubare credenziali e informazioni di rete dettagliate, che vengono poi vendute su forum underground. Ciò crea opportunità per altri criminali informatici di sfruttare sistemi compromessi per ulteriori attacchi, allineandosi al più ampio panorama di sicurezza informatica di collaborazione tra gruppi sponsorizzati dallo stato e criminalità informatica organizzata.
Tecniche di attacco avanzate
Dopo l'accesso iniziale, gli aggressori iraniani solitamente conducono una ricognizione approfondita dei sistemi del bersaglio. Utilizzano strumenti "living-off-the-land" (LotL), che sfruttano l'infrastruttura dell'organizzazione stessa per non essere rilevati. Gli exploit di escalation dei privilegi, come la nota vulnerabilità Zerologon (CVE-2020-1472), aiutano gli aggressori a penetrare più a fondo nei sistemi.
In molti casi, gli aggressori sfruttano i protocolli desktop remoti (RDP) e strumenti come Cobalt Strike per stabilire connessioni di comando e controllo (C2). In particolare, a volte registrano i propri dispositivi con sistemi MFA, il che consente loro di mantenere un accesso persistente per lunghi periodi senza destare sospetti.
Targeting per Active Directory e oltre
Gli attori informatici iraniani si stanno concentrando sempre di più sulla compromissione di Active Directory, la spina dorsale di molti ambienti IT aziendali. Active Directory svolge un ruolo cruciale nella gestione dell'autenticazione e delle autorizzazioni degli utenti sulle reti. La compromissione di questo sistema consente agli aggressori di aumentare i privilegi, dando loro accesso a informazioni altamente sensibili e controllo sui sistemi critici.
I recenti cambiamenti nel panorama delle minacce globali indicano anche una tendenza alla collaborazione tra gruppi di hacker nazionali e organizzazioni di criminali informatici. Il Digital Defense Report 2024 di Microsoft evidenzia che gli aggressori sponsorizzati dallo stato iraniano non solo stanno conducendo operazioni per ragioni geopolitiche, ma sono anche motivati da guadagni finanziari. Esternalizzando parti delle loro operazioni ai criminali informatici, estendono la loro portata mantenendo un profilo più basso.
Cosa possono fare le organizzazioni
Per mitigare questi rischi, le organizzazioni nei settori interessati devono adottare misure proattive:
- Implementare MFA anti-phishing ove possibile. Se non è fattibile, utilizzare il number matching come opzione di autenticazione secondaria.
- Verificare e correggere regolarmente le vulnerabilità, in particolare in Active Directory e in altri sistemi critici.
- Formare i dipendenti affinché riconoscano i segnali di affaticamento da MFA e incoraggiarli a segnalare tentativi di accesso sospetti.
- Monitorare il traffico di rete per rilevare eventuali attività insolite, in particolare le connessioni in uscita verso infrastrutture C2 note.
- Collaborare con agenzie governative e colleghi del settore per rimanere informati sulle ultime minacce e sulle migliori pratiche di difesa.
La strada da percorrere
Poiché gli attacchi informatici diventano più sofisticati e interconnessi con obiettivi geopolitici globali, le aziende devono essere vigili. La campagna durata un anno da parte degli attori informatici iraniani serve come un duro promemoria del fatto che anche i sistemi di sicurezza più robusti possono essere compromessi senza le difese adeguate in atto.
Per restare al passo con queste minacce è necessario un adattamento costante, collaborazione e un impegno verso le best practice di sicurezza informatica. Sebbene nessun sistema sia invulnerabile, le organizzazioni informate e preparate hanno molte più possibilità di resistere alla crescente ondata di attacchi informatici.