Kelių licencijų nuolaidos pasiūlymas
Kompiuterių apsauga Saugokitės! Irano kibernetinės atakos kelia grėsmę...

Saugokitės! Irano kibernetinės atakos kelia grėsmę svarbiai infrastruktūrai vykstančioje pasaulinėje kampanijoje

Autorius Mura, Kompiuterių apsauga
Versti į:
Lietuvių

Nuolat besikeičiančiame kibernetinių grėsmių pasaulyje viena iš labiausiai nerimą keliančių tendencijų yra valstybės remiamų kibernetinių atakų, nukreiptų prieš svarbiausią infrastruktūrą, augimas. Naujausi JAV, Australijos ir Kanados kibernetinio saugumo ir žvalgybos agentūrų bendri patarimai atskleidžia besitęsiančią metus trunkančią Irano kibernetinių veikėjų kampaniją, skirtą pagrindiniams sektoriams, tokiems kaip sveikatos priežiūra, energetika, vyriausybė ir informacinės technologijos.

Irano kibernetinių atakų metodai

Nuo 2023 m. spalio mėn. Irano kibernetiniai veikėjai taikė žiaurios jėgos atakas ir slaptažodžių išpurškimą, kad įsiskverbtų į organizacijas . Šios taktikos apima sistemingą slaptažodžių atspėjimą ir didžiulių prisijungimo sistemų naudojimą, siekiant gauti neteisėtą prieigą prie vartotojų paskyrų. Tokie sektoriai kaip sveikatos priežiūra, inžinerija ir vyriausybės paslaugos yra pagrindiniai tikslai, atsižvelgiant į jų jautrumą ir svarbą.

Viena iš naujų taktikos, kurią taiko šie užpuolikai, yra kelių veiksnių autentifikavimo (MFA) tiesioginis bombardavimas, dar žinomas kaip MFA nuovargis. Užpildydami vartotojus pasikartojančiais MFA užklausomis, užpuolikai tikisi suerzinti ar suklaidinti aukas, kad jos netyčia patvirtintų prieigą. Ray Carney, „Tenable“ kibernetinio saugumo ekspertas, siūlo naudoti sukčiavimui atsparią MFA arba skaičių suderinimą, kad autentifikavimo procesas būtų saugesnis.

Pagrindinis šių atakų tikslas yra pavogti kredencialus ir išsamią tinklo informaciją, kuri vėliau parduodama požeminiuose forumuose. Tai suteikia galimybę kitiems kibernetiniams nusikaltėliams išnaudoti pažeistas sistemas tolimesnėms atakoms, derinant su platesne valstybės remiamų grupių ir organizuotų elektroninių nusikaltimų bendradarbiavimo kibernetinio saugumo aplinka.

Išplėstinė puolimo technika

Po pirminės prieigos Irano užpuolikai paprastai atlieka nuodugnią taikinio sistemų žvalgybą. Jie naudoja „gyvenimo ne žemėje“ (LotL) įrankius, kurie naudoja pačios organizacijos infrastruktūrą, kad liktų nepastebėti. Privilegijų eskalavimo išnaudojimas, pvz., gerai žinomas „Zerologon“ pažeidžiamumas (CVE-2020-1472), padeda užpuolikams gilintis į sistemas.

Daugeliu atvejų užpuolikai naudoja nuotolinio darbalaukio protokolus (RDP) ir įrankius, tokius kaip „Cobalt Strike“, kad sukurtų komandų ir valdymo (C2) ryšius. Pažymėtina, kad jie kartais registruoja savo įrenginius MFA sistemose, todėl ilgą laiką gali išlaikyti nuolatinę prieigą nesukeldami įtarimo.

Taikymas pagal Active Directory ir ne tik

Irano kibernetiniai veikėjai vis daugiau dėmesio skiria „Active Directory“ – daugelio įmonių IT aplinkų pagrindo – kompromitavimui. „Active Directory“ atlieka lemiamą vaidmenį valdant vartotojo autentifikavimą ir leidimus tinkluose. Šios sistemos kompromisas leidžia užpuolikams išplėsti privilegijas, suteikiant jiems prieigą prie labai jautrios informacijos ir svarbių sistemų kontrolę.

Pastarieji pokyčiai pasaulinės grėsmės srityje taip pat rodo nacionalinių valstybių įsilaužimo grupių ir kibernetinių nusikaltėlių organizacijų bendradarbiavimo tendenciją. „Microsoft“ 2024 m. skaitmeninės gynybos ataskaitoje pabrėžiama, kad Irano valstybės remiami užpuolikai ne tik vykdo operacijas dėl geopolitinių priežasčių, bet ir yra skatinami finansinės naudos. Perduodami dalį savo operacijų kibernetiniams nusikaltėliams, jie išplečia savo pasiekiamumą ir išlaiko žemesnį profilį.

Ką gali padaryti organizacijos

Siekdamos sumažinti šią riziką, organizacijos tiksliniuose sektoriuose turi imtis aktyvių priemonių:

  • Kur įmanoma, įdiekite sukčiavimui atsparią MFA. Jei tai neįmanoma, naudokite skaičių atitiktį kaip antrinę autentifikavimo parinktį.
  • Reguliariai tikrinkite ir pataisykite pažeidžiamumą, ypač „Active Directory“ ir kitose svarbiose sistemose.
  • Išmokykite darbuotojus atpažinti MFA nuovargio požymius ir paskatinkite juos pranešti apie įtartinus bandymus prisijungti.
  • Stebėkite tinklo srautą dėl neįprastos veiklos, ypač išeinančio ryšio su žinoma C2 infrastruktūra.
  • Bendradarbiaukite su vyriausybinėmis agentūromis ir pramonės kolegomis, kad būtumėte informuoti apie naujausias grėsmes ir geriausią gynybos praktiką.

Kelias priekyje

Kadangi kibernetinės atakos tampa vis sudėtingesnės ir susipynusios su globaliais geopolitiniais tikslais, įmonės turi būti budrios. Metus trunkanti Irano kibernetinių veikėjų kampanija yra ryškus priminimas, kad net tvirtiausios apsaugos sistemos gali būti pažeistos neįdiegus tinkamos apsaugos.

Norint išvengti šių grėsmių, reikia nuolat prisitaikyti, bendradarbiauti ir laikytis geriausios kibernetinio saugumo praktikos. Nors jokia sistema nėra nepralaidi, informuotos ir pasirengusios organizacijos turi daug daugiau galimybių atlaikyti augančią kibernetinių atakų bangą.

Įkeliama...