Vairāku licenču atlaides piedāvājums
Datoru drošība Uzmanies! Irānas kiberuzbrukumi notiekošajā globālajā...

Uzmanies! Irānas kiberuzbrukumi notiekošajā globālajā kampaņā apdraud kritisko infrastruktūru

Līdz Mura. gadam Datoru drošība. gadā
Tulkot uz:
Latviešu

Kiberdraudu pasaulē, kas pastāvīgi attīstās, viena no satraucošākajām tendencēm ir valsts sponsorētu kiberuzbrukumu pieaugums kritiskās infrastruktūras jomā . Nesenie ASV, Austrālijas un Kanādas kiberdrošības un izlūkošanas aģentūru kopīgie ieteikumi atklāj Irānas kiberaktoru notiekošo gadu ilgušo kampaņu, kas vērsta uz tādām galvenajām nozarēm kā veselības aprūpe, enerģētika, valdība un informācijas tehnoloģijas.

Irānas kiberuzbrukumu metodes

Kopš 2023. gada oktobra Irānas kiberaktori ir izmantojuši brutāla spēka uzbrukumus un paroļu izsmidzināšanu, lai iefiltrētos organizācijās . Šīs taktikas ietver sistemātisku paroļu uzminēšanu un pārliecinošu pieteikšanās sistēmu izmantošanu, lai iegūtu nesankcionētu piekļuvi lietotāju kontiem. Tādas nozares kā veselības aprūpe, inženierzinātnes un valdības pakalpojumi ir galvenie mērķi, ņemot vērā to jutīgumu un nozīmi.

Viena no jaunām taktikām, ko izmanto šie uzbrucēji, ir daudzfaktoru autentifikācijas (MFA) push bombardēšana, kas pazīstama arī kā MFA nogurums. Pārpludinot lietotājus ar atkārtotiem MFA pieprasījumiem, uzbrucēji cer kaitināt vai mulsināt upurus, neapzināti apstiprinot piekļuvi. Rejs Kārnijs, Tenable kiberdrošības eksperts, iesaka izmantot pret pikšķerēšanu izturīgu MFA vai izmantot numuru saskaņošanu, lai nodrošinātu drošāku autentifikācijas procesu.

Šo uzbrukumu galvenais mērķis ir nozagt akreditācijas datus un detalizētu tīkla informāciju, kas pēc tam tiek pārdota pazemes forumos. Tas rada iespējas citiem kibernoziedzniekiem izmantot apdraudētas sistēmas turpmākiem uzbrukumiem, pielāgojoties plašākai kiberdrošības ainavai, ko veido valsts sponsorētu grupu un organizētas kibernoziedzības sadarbība.

Uzlabotas uzbrukuma metodes

Pēc sākotnējās piekļuves Irānas uzbrucēji parasti veic rūpīgu mērķa sistēmu izlūkošanu. Viņi izmanto "dzīvo ārpus zemes" (LotL) rīkus, kas izmanto pašas organizācijas infrastruktūru, lai paliktu nepamanīti. Privilēģiju eskalācijas izmantošana, piemēram, labi zināmā Zerologon ievainojamība (CVE-2020-1472), palīdz uzbrucējiem iekļūt sistēmās.

Daudzos gadījumos uzbrucēji izmanto attālās darbvirsmas protokolus (RDP) un rīkus, piemēram, Cobalt Strike, lai izveidotu komandu un kontroles (C2) savienojumus. Proti, viņi dažreiz reģistrē savas ierīces MFA sistēmās, ļaujot tām uzturēt pastāvīgu piekļuvi ilgu laiku, neradot aizdomas.

Mērķauditorijas atlase Active Directory un ārpus tās

Irānas kiberdarbinieki arvien vairāk koncentrējas uz Active Directory, kas ir daudzu uzņēmumu IT vidi mugurkauls, kompromitēšanu. Active Directory ir izšķiroša loma lietotāju autentifikācijas un atļauju pārvaldībā tīklos. Šīs sistēmas kompromiss ļauj uzbrucējiem palielināt privilēģijas, nodrošinot viņiem piekļuvi ļoti sensitīvai informācijai un kritisko sistēmu kontroli.

Nesenās pārmaiņas globālajā draudu vidē norāda arī uz sadarbības tendenci starp nacionālo valstu hakeru grupām un kibernoziedznieku organizācijām. Microsoft 2024. gada digitālās aizsardzības ziņojumā uzsvērts, ka Irānas valsts atbalstītie uzbrucēji ne tikai veic operācijas ģeopolitisku iemeslu dēļ, bet arī viņus motivē finansiāls ieguvums. Nododot daļu savu darbību ārpakalpojumu sniedzējiem kibernoziedzniekiem, viņi paplašina savu darbību, vienlaikus saglabājot zemāku profilu.

Ko organizācijas var darīt

Lai mazinātu šos riskus, organizācijām mērķa nozarēs ir jāveic aktīvi pasākumi:

  • Kur vien iespējams, ieviesiet pret pikšķerēšanu izturīgu MFA. Ja tas nav iespējams, izmantojiet numuru saskaņošanu kā sekundāro autentifikācijas iespēju.
  • Regulāri pārbaudiet un labojiet ievainojamības, īpaši Active Directory un citās kritiskās sistēmās.
  • Apmāciet darbiniekus atpazīt MFA noguruma pazīmes un mudiniet viņus ziņot par aizdomīgiem pieteikšanās mēģinājumiem.
  • Pārraugiet tīkla trafiku, lai atklātu neparastas darbības, īpaši izejošos savienojumus ar zināmo C2 infrastruktūru.
  • Sadarbojieties ar valsts aģentūrām un nozares kolēģiem, lai būtu informēti par jaunākajiem apdraudējumiem un aizsardzības paraugpraksi.

Ceļš priekšā

Tā kā kiberuzbrukumi kļūst arvien sarežģītāki un saistīti ar globāliem ģeopolitiskajiem mērķiem, uzņēmumiem ir jābūt modriem. Irānas kiberaktoru gadu ilgā kampaņa kalpo kā spilgts atgādinājums, ka pat visspēcīgākās drošības sistēmas var tikt apdraudētas, ja netiek ieviesta atbilstoša aizsardzība.

Lai izvairītos no šiem draudiem, ir nepieciešama pastāvīga pielāgošanās, sadarbība un apņemšanās ievērot kiberdrošības labāko praksi. Lai gan neviena sistēma nav necaurlaidīga, informētām un sagatavotām organizācijām ir daudz lielākas iespējas izturēt pieaugošo kiberuzbrukumu vilni.

Notiek ielāde...