Pass på! Iranske nettangrep truer kritisk infrastruktur i pågående global kampanje

I den stadig utviklende verden av cybertrusler, er en av de mest alarmerende trendene økningen av statsstøttede cyberangrep rettet mot kritisk infrastruktur . Nylige felles råd fra cybersikkerhets- og etterretningsbyråer over hele USA, Australia og Canada avslører en pågående årelang kampanje av iranske cyberaktører rettet mot nøkkelsektorer som helsevesen, energi, myndigheter og informasjonsteknologi.

Metodene bak iranske cyberangrep

Siden oktober 2023 har iranske cyberaktører brukt brute-force-angrep og passordspraying for å infiltrere organisasjoner . Disse taktikkene innebærer systematisk å gjette passord og overveldende påloggingssystemer for å få uautorisert tilgang til brukerkontoer. Sektorer som helsevesen, ingeniørtjenester og offentlige tjenester er hovedmål, gitt deres følsomhet og betydning.

En ny taktikk brukt av disse angriperne er multi-faktor autentisering (MFA) push bombing, også kjent som MFA fatigue. Ved å oversvømme brukere med gjentatte MFA-forespørsler, håper angriperne å irritere eller forvirre ofrene til å utilsiktet godkjenne tilgang. Ray Carney, en cybersikkerhetsekspert hos Tenable, foreslår å bruke phishing-resistent MFA eller å bruke nummermatching for en sikrere autentiseringsprosess.

Hovedmålet med disse angrepene er å stjele legitimasjon og detaljert nettverksinformasjon, som deretter selges på underjordiske fora. Dette skaper muligheter for andre cyberkriminelle til å utnytte kompromitterte systemer for ytterligere angrep, i tråd med det bredere cybersikkerhetslandskapet for samarbeid mellom statsstøttede grupper og organisert nettkriminalitet.

Avanserte angrepsteknikker

Etter første tilgang utfører iranske angripere vanligvis grundig rekognosering av målets systemer. De bruker «living-off-the-land» (LotL)-verktøy, som bruker organisasjonens egen infrastruktur for å forbli uoppdaget. Utnyttelser av privilegiereskalering, for eksempel den velkjente Zerologon-sårbarheten (CVE-2020-1472), hjelper angripere med å bevege seg dypere inn i systemene.

I mange tilfeller bruker angripere eksterne skrivebordsprotokoller (RDP) og verktøy som Cobalt Strike for å etablere kommando-og-kontroll (C2)-forbindelser. Spesielt registrerer de noen ganger sine egne enheter med MFA-systemer, slik at de kan opprettholde vedvarende tilgang over lange perioder uten å vekke mistanke.

Målretting mot Active Directory og utover

Iranske cyberaktører fokuserer i økende grad på å kompromittere Active Directory, ryggraden i mange bedrifts IT-miljøer. Active Directory spiller en avgjørende rolle i å administrere brukerautentisering og tillatelser på tvers av nettverk. Kompromisset med dette systemet lar angripere eskalere privilegier, og gir dem tilgang til svært sensitiv informasjon og kontroll over kritiske systemer.

Nylige endringer i det globale trussellandskapet peker også på en trend med samarbeid mellom nasjonalstatlige hackergrupper og cyberkriminelle organisasjoner. Microsofts 2024 Digital Defense Report fremhever at iranske statsstøttede angripere ikke bare utfører operasjoner av geopolitiske årsaker, men er også motivert av økonomisk gevinst. Ved å sette ut deler av virksomheten deres til nettkriminelle, utvider de rekkevidden samtidig som de opprettholder en lavere profil.

Hva organisasjoner kan gjøre

For å redusere disse risikoene, må organisasjoner i målrettede sektorer ta proaktive tiltak:

• Implementer phishing-resistent MFA der det er mulig. Hvis det ikke er mulig, bruk nummermatching som et sekundært autentiseringsalternativ.
• Regelmessig revidere og korrigere sårbarheter, spesielt i Active Directory og andre kritiske systemer.
• Lær ansatte til å gjenkjenne tegn på MFA-tretthet og oppmuntre dem til å rapportere mistenkelige påloggingsforsøk.
• Overvåk nettverkstrafikk for uvanlig aktivitet, spesielt utgående tilkoblinger til kjent C2-infrastruktur.
• Samarbeid med offentlige etater og bransjekolleger for å holde deg informert om de siste truslene og beste praksis for forsvar.

Veien videre

Etter hvert som nettangrep blir mer sofistikerte og sammenvevd med globale geopolitiske mål, må bedrifter være på vakt. Den årelange kampanjen til iranske cyberaktører tjener som en sterk påminnelse om at selv de mest robuste sikkerhetssystemene kan kompromitteres uten riktig forsvar på plass.

Å ligge i forkant av disse truslene krever konstant tilpasning, samarbeid og en forpliktelse til beste praksis for cybersikkerhet. Selv om intet system er ugjennomtrengelig, har informerte og forberedte organisasjoner en langt bedre sjanse til å motstå den økende bølgen av nettangrep.