Oferta rabatowa na wiele licencji
Bezpieczeństwo komputerowe Uważaj! Irańskie cyberataki zagrażają krytycznej...

Uważaj! Irańskie cyberataki zagrażają krytycznej infrastrukturze w trwającej globalnej kampanii

Do Mura w Bezpieczeństwo komputerowe
Przetłumacz na:
Polski

W ciągle ewoluującym świecie cyberzagrożeń jednym z najbardziej alarmujących trendów jest wzrost sponsorowanych przez państwo cyberataków wymierzonych w krytyczną infrastrukturę . Ostatnie wspólne ostrzeżenia agencji cyberbezpieczeństwa i wywiadu z USA, Australii i Kanady ujawniają trwającą od roku kampanię irańskich cyberaktorów skierowaną na kluczowe sektory, takie jak opieka zdrowotna, energetyka, rząd i technologia informacyjna.

Metody irańskich cyberataków

Od października 2023 r. irańscy cyberaktorzy stosują ataki siłowe i rozpylanie haseł, aby infiltrować organizacje . Taktyki te obejmują systematyczne zgadywanie haseł i przeciążanie systemów logowania w celu uzyskania nieautoryzowanego dostępu do kont użytkowników. Sektory takie jak opieka zdrowotna, inżynieria i usługi rządowe są głównymi celami ze względu na ich wrażliwość i znaczenie.

Jedną z pojawiających się taktyk stosowanych przez tych atakujących jest bombardowanie wieloskładnikowym uwierzytelnianiem (MFA), znane również jako zmęczenie MFA. Zalewając użytkowników powtarzającymi się żądaniami MFA, atakujący mają nadzieję zirytować lub zdezorientować ofiary, aby nieumyślnie zatwierdziły dostęp. Ray Carney, ekspert ds. cyberbezpieczeństwa w Tenable, sugeruje korzystanie z odpornego na phishing MFA lub stosowanie dopasowywania numerów w celu bezpieczniejszego procesu uwierzytelniania.

Głównym celem tych ataków jest kradzież danych uwierzytelniających i szczegółowych informacji o sieci, które są następnie sprzedawane na podziemnych forach. Stwarza to okazje dla innych cyberprzestępców do wykorzystania zagrożonych systemów do dalszych ataków, co jest zgodne z szerszym krajobrazem cyberbezpieczeństwa współpracy między grupami sponsorowanymi przez państwo a zorganizowaną cyberprzestępczością.

Zaawansowane techniki ataku

Po wstępnym dostępie irańscy atakujący zazwyczaj przeprowadzają dokładne rozpoznanie systemów celu. Używają narzędzi „living-off-the-land” (LotL), które wykorzystują infrastrukturę organizacji, aby pozostać niewykrytymi. Eksploity eskalacji uprawnień, takie jak dobrze znana luka Zerologon (CVE-2020-1472), pomagają atakującym wnikać głębiej w systemy.

W wielu przypadkach atakujący wykorzystują protokoły pulpitu zdalnego (RDP) i narzędzia takie jak Cobalt Strike, aby nawiązać połączenia typu command-and-control (C2). Co ciekawe, czasami rejestrują własne urządzenia w systemach MFA, co pozwala im na utrzymywanie stałego dostępu przez długi czas bez wzbudzania podejrzeń.

Celowanie w Active Directory i nie tylko

Irańscy cyberaktorzy coraz bardziej skupiają się na naruszaniu Active Directory, kręgosłupa wielu środowisk IT przedsiębiorstw. Active Directory odgrywa kluczową rolę w zarządzaniu uwierzytelnianiem użytkowników i uprawnieniami w sieciach. Naruszenie tego systemu pozwala atakującym na eskalację uprawnień, dając im dostęp do wysoce poufnych informacji i kontrolę nad krytycznymi systemami.

Ostatnie zmiany w globalnym krajobrazie zagrożeń wskazują również na tendencję współpracy między grupami hakerskimi państw narodowych a organizacjami cyberprzestępczymi. Raport Microsoftu na temat obrony cyfrowej z 2024 r. podkreśla, że irańscy napastnicy sponsorowani przez państwo nie tylko prowadzą operacje z powodów geopolitycznych, ale również kierują się chęcią zysku finansowego. Zlecając części swoich operacji cyberprzestępcom, zwiększają swój zasięg, jednocześnie zachowując niższy profil.

Co mogą zrobić organizacje

Aby ograniczyć te ryzyka, organizacje z sektorów docelowych muszą podjąć proaktywne działania:

  • Wdrożyć MFA odporne na phishing, gdziekolwiek to możliwe. Jeśli nie jest to wykonalne, użyć dopasowywania numerów jako dodatkowej opcji uwierzytelniania.
  • Regularnie przeprowadzaj audyty i usuwaj luki w zabezpieczeniach, szczególnie w usłudze Active Directory i innych ważnych systemach.
  • Przeszkol pracowników, aby umieli rozpoznawać oznaki zmęczenia uwierzytelnianiem wieloskładnikowym i zachęć ich do zgłaszania podejrzanych prób logowania.
  • Monitoruj ruch sieciowy pod kątem nietypowej aktywności, w szczególności połączeń wychodzących do znanej infrastruktury C2.
  • Współpracuj z agencjami rządowymi i partnerami branżowymi, aby być na bieżąco z najnowszymi zagrożeniami i najlepszymi praktykami w zakresie obronności.

Droga przed nami

Ponieważ cyberataki stają się coraz bardziej wyrafinowane i powiązane z globalnymi celami geopolitycznymi, firmy muszą być czujne. Roczna kampania irańskich cyberaktorów jest jaskrawym przypomnieniem, że nawet najsolidniejsze systemy bezpieczeństwa mogą zostać naruszone bez odpowiednich zabezpieczeń.

Aby wyprzedzić te zagrożenia, konieczna jest stała adaptacja, współpraca i zaangażowanie w najlepsze praktyki cyberbezpieczeństwa. Chociaż żaden system nie jest nieprzepuszczalny, poinformowane i przygotowane organizacje mają znacznie większe szanse na przetrwanie rosnącej fali cyberataków.

Ładowanie...