Будьте осторожны! Иранские кибератаки угрожают критической инфраструктуре в продолжающейся глобальной кампании
В постоянно меняющемся мире киберугроз одной из самых тревожных тенденций является рост числа спонсируемых государством кибератак, нацеленных на критически важную инфраструктуру . Недавние совместные рекомендации от агентств по кибербезопасности и разведки США, Австралии и Канады раскрывают продолжающуюся годичную кампанию иранских киберпреступников, направленную на ключевые секторы, такие как здравоохранение, энергетика, государственное управление и информационные технологии.
Оглавление
Методы, лежащие в основе иранских кибератак
С октября 2023 года иранские киберпреступники используют атаки методом подбора и распыления паролей для проникновения в организации . Эти тактики включают систематический подбор паролей и подавление систем входа в систему для получения несанкционированного доступа к учетным записям пользователей. Такие секторы, как здравоохранение, инженерия и государственные услуги, являются основными целями, учитывая их чувствительность и важность.
Одной из новых тактик, используемых этими злоумышленниками, является бомбардировка многофакторной аутентификации (MFA), также известная как усталость от MFA. Забрасывая пользователей повторяющимися запросами MFA, злоумышленники надеются раздражать или сбивать жертв с толку, заставляя их непреднамеренно одобрять доступ. Рэй Карни, эксперт по кибербезопасности в Tenable, предлагает использовать устойчивую к фишингу MFA или применять сопоставление номеров для более безопасного процесса аутентификации.
Основная цель этих атак — кража учетных данных и подробной сетевой информации, которая затем продается на подпольных форумах. Это создает возможности для других киберпреступников использовать скомпрометированные системы для дальнейших атак, что соответствует более широкому ландшафту кибербезопасности сотрудничества между спонсируемыми государством группами и организованной киберпреступностью.
Продвинутые методы атаки
После первоначального доступа иранские злоумышленники обычно проводят тщательную разведку систем цели. Они используют инструменты «living-off-the-land» (LotL), которые используют собственную инфраструктуру организации, чтобы оставаться незамеченными. Эксплойты повышения привилегий, такие как известная уязвимость Zerologon (CVE-2020-1472), помогают злоумышленникам проникать глубже в системы.
Во многих случаях злоумышленники используют протоколы удаленного рабочего стола (RDP) и инструменты вроде Cobalt Strike для установления соединений командования и управления (C2). В частности, они иногда регистрируют свои собственные устройства в системах MFA, что позволяет им поддерживать постоянный доступ в течение длительного времени, не вызывая подозрений.
Ориентация на Active Directory и не только
Иранские киберпреступники все больше внимания уделяют взлому Active Directory, основы многих корпоративных ИТ-сред. Active Directory играет важную роль в управлении аутентификацией пользователей и разрешениями в сетях. Взлом этой системы позволяет злоумышленникам повышать привилегии, предоставляя им доступ к высокочувствительной информации и контроль над критически важными системами.
Недавние изменения в ландшафте глобальных угроз также указывают на тенденцию сотрудничества между хакерскими группами национальных государств и киберпреступными организациями. В отчете Microsoft по цифровой обороне за 2024 год подчеркивается, что спонсируемые иранским государством злоумышленники проводят операции не только по геополитическим причинам, но и мотивируются финансовой выгодой. Передавая часть своих операций на аутсорсинг киберпреступникам, они расширяют свое присутствие, сохраняя при этом низкий уровень заметности.
Что могут сделать организации
Чтобы снизить эти риски, организации в целевых секторах должны принять упреждающие меры:
- Внедряйте MFA, устойчивую к фишингу, где это возможно. Если это невозможно, используйте сопоставление номеров в качестве вторичного варианта аутентификации.
- Регулярно проводите аудит и устраняйте уязвимости, особенно в Active Directory и других критических системах.
- Обучите сотрудников распознавать признаки усталости от многофакторной аутентификации и поощряйте их сообщать о подозрительных попытках входа в систему.
- Отслеживайте сетевой трафик на предмет необычной активности, особенно исходящих подключений к известной инфраструктуре C2.
- Сотрудничайте с государственными учреждениями и коллегами из отрасли, чтобы быть в курсе последних угроз и передовых методов защиты.
Дорога впереди
Поскольку кибератаки становятся все более изощренными и переплетаются с глобальными геополитическими целями, предприятия должны быть бдительными. Годовая кампания иранских киберпреступников служит суровым напоминанием о том, что даже самые надежные системы безопасности могут быть скомпрометированы без надлежащей защиты.
Чтобы опережать эти угрозы, требуется постоянная адаптация, сотрудничество и приверженность лучшим практикам кибербезопасности. Хотя ни одна система не является неуязвимой, информированные и подготовленные организации имеют гораздо больше шансов противостоять растущей волне кибератак.