Kortingsaanbieding voor meerdere licenties
Computerbeveiliging Pas op! Iraanse cyberaanvallen bedreigen kritieke...

Pas op! Iraanse cyberaanvallen bedreigen kritieke infrastructuur in voortdurende wereldwijde campagne

Tegen Mura in Computerbeveiliging
Vertalen naar:
Nederlands

In de steeds veranderende wereld van cyberdreigingen is een van de meest alarmerende trends de opkomst van door de staat gesponsorde cyberaanvallen gericht op kritieke infrastructuur . Recente gezamenlijke adviezen van cybersecurity- en inlichtingendiensten in de VS, Australië en Canada onthullen een voortdurende campagne van een jaar door Iraanse cyberactoren gericht op belangrijke sectoren zoals gezondheidszorg, energie, overheid en informatietechnologie.

De methoden achter Iraanse cyberaanvallen

Sinds oktober 2023 gebruiken Iraanse cyberactoren brute-force-aanvallen en wachtwoordspraying om organisaties te infiltreren . Deze tactieken omvatten het systematisch raden van wachtwoorden en het overweldigen van inlogsystemen om ongeautoriseerde toegang te krijgen tot gebruikersaccounts. Sectoren als gezondheidszorg, techniek en overheidsdiensten zijn belangrijke doelwitten, gezien hun gevoeligheid en belang.

Een opkomende tactiek die door deze aanvallers wordt gebruikt, is multi-factor authentication (MFA) push bombing, ook bekend als MFA fatigue. Door gebruikers te overspoelen met herhaalde MFA-verzoeken, hopen de aanvallers slachtoffers te irriteren of te verwarren, zodat ze onbedoeld toegang goedkeuren. Ray Carney, een cybersecurity-expert bij Tenable, stelt voor om phishing-resistente MFA te gebruiken of nummermatching te gebruiken voor een veiliger authenticatieproces.

Het primaire doel van deze aanvallen is om inloggegevens en gedetailleerde netwerkinformatie te stelen, die vervolgens op ondergrondse forums worden verkocht. Dit creëert kansen voor andere cybercriminelen om gecompromitteerde systemen te misbruiken voor verdere aanvallen, wat aansluit bij het bredere cybersecuritylandschap van samenwerking tussen door de staat gesponsorde groepen en georganiseerde cybercriminaliteit.

Geavanceerde aanvalstechnieken

Na de eerste toegang voeren Iraanse aanvallers doorgaans een grondige verkenning uit van de systemen van het doelwit. Ze gebruiken 'living-off-the-land' (LotL)-tools, die gebruikmaken van de eigen infrastructuur van de organisatie om onopgemerkt te blijven. Privilege escalation exploits, zoals de bekende Zerologon-kwetsbaarheid (CVE-2020-1472), helpen aanvallers om dieper in systemen door te dringen.

In veel gevallen maken aanvallers gebruik van remote desktop protocols (RDP) en tools zoals Cobalt Strike om command-and-control (C2) verbindingen tot stand te brengen. Opvallend is dat ze soms hun eigen apparaten registreren bij MFA-systemen, waardoor ze langdurig toegang kunnen behouden zonder argwaan te wekken.

Doelgericht op Active Directory en verder

Iraanse cyberactoren richten zich steeds meer op het compromitteren van Active Directory, de ruggengraat van veel IT-omgevingen van bedrijven. Active Directory speelt een cruciale rol bij het beheren van gebruikersauthenticatie en -machtigingen in netwerken. Door dit systeem te compromitteren, kunnen aanvallers privileges escaleren, waardoor ze toegang krijgen tot zeer gevoelige informatie en controle over kritieke systemen.

Recente verschuivingen in het wereldwijde dreigingslandschap wijzen ook op een trend van samenwerking tussen hackinggroepen van natiestaten en cybercriminele organisaties. Het Digital Defense Report van Microsoft uit 2024 benadrukt dat door de Iraanse staat gesponsorde aanvallers niet alleen operaties uitvoeren om geopolitieke redenen, maar ook gemotiveerd worden door financieel gewin. Door delen van hun operaties uit te besteden aan cybercriminelen, vergroten ze hun bereik terwijl ze een lager profiel behouden.

Wat organisaties kunnen doen

Om deze risico's te beperken, moeten organisaties in de beoogde sectoren proactieve maatregelen nemen:

  • Implementeer phishing-resistente MFA waar mogelijk. Als dit niet haalbaar is, gebruik dan nummermatching als secundaire authenticatieoptie.
  • Controleer en repareer regelmatig kwetsbaarheden, met name in Active Directory en andere kritieke systemen.
  • Train medewerkers om de signalen van MFA-moeheid te herkennen en moedig hen aan om verdachte inlogpogingen te melden.
  • Controleer het netwerkverkeer op ongebruikelijke activiteiten, vooral uitgaande verbindingen naar bekende C2-infrastructuur.
  • Werk samen met overheidsinstanties en branchegenoten om op de hoogte te blijven van de nieuwste bedreigingen en best practices voor defensie.

De weg vooruit

Naarmate cyberaanvallen steeds geavanceerder worden en verweven raken met wereldwijde geopolitieke doelen, moeten bedrijven waakzaam zijn. De campagne van een jaar door Iraanse cyberactoren dient als een harde herinnering dat zelfs de meest robuuste beveiligingssystemen gecompromitteerd kunnen worden zonder de juiste verdediging.

Om deze bedreigingen voor te blijven, is constante aanpassing, samenwerking en toewijding aan best practices voor cybersecurity nodig. Hoewel geen enkel systeem ondoordringbaar is, hebben geïnformeerde en voorbereide organisaties een veel betere kans om de groeiende golf van cyberaanvallen te weerstaan.

Bezig met laden...