Pozor! Iranski kibernetski napadi ogrožajo kritično infrastrukturo v tekoči globalni kampanji

V nenehno razvijajočem se svetu kibernetskih groženj je eden najbolj zaskrbljujočih trendov porast kibernetskih napadov, ki jih sponzorira država in ciljajo na kritično infrastrukturo . Nedavni skupni nasveti agencij za kibernetsko varnost in obveščevalnih agencij iz ZDA, Avstralije in Kanade razkrivajo tekočo celoletno kampanjo iranskih kibernetskih akterjev, usmerjeno v ključne sektorje, kot so zdravstvo, energija, vlada in informacijska tehnologija.

Metode za iranskimi kibernetskimi napadi

Od oktobra 2023 iranski kibernetski akterji uporabljajo napade s surovo silo in razprševanje gesel, da bi se infiltrirali v organizacije . Te taktike vključujejo sistematično ugibanje gesel in preobremenitev prijavnih sistemov za pridobitev nepooblaščenega dostopa do uporabniških računov. Sektorji, kot so zdravstvo, inženiring in vladne storitve, so glavne tarče glede na njihovo občutljivost in pomembnost.

Ena od nastajajočih taktik, ki jih uporabljajo ti napadalci, je potisno bombardiranje z večfaktorsko avtentikacijo (MFA), znano tudi kot utrujenost MFA. S preplavljanjem uporabnikov s ponavljajočimi se zahtevami MFA napadalci upajo, da bodo zmotili ali zmedli žrtve, da bodo nenamerno odobrile dostop. Ray Carney, strokovnjak za kibernetsko varnost pri Tenable, predlaga uporabo MFA, odpornega proti lažnemu predstavljanju, ali uporabo ujemanja številk za varnejši postopek preverjanja pristnosti.

Glavni cilj teh napadov je ukrasti poverilnice in podrobne informacije o omrežju, ki se nato prodajajo na podzemnih forumih. To ustvarja priložnosti za druge kibernetske kriminalce, da izkoriščajo ogrožene sisteme za nadaljnje napade, kar je usklajeno s širšim okoljem kibernetske varnosti sodelovanja med skupinami, ki jih sponzorira država, in organiziranim kibernetskim kriminalom.

Napredne tehnike napada

Po prvem dostopu iranski napadalci običajno opravijo temeljito izvidovanje ciljnih sistemov. Uporabljajo orodja "living-off-the-land" (LotL), ki uporabljajo lastno infrastrukturo organizacije, da ostanejo neodkriti. Izkoriščanja stopnjevanja privilegijev, kot je dobro znana ranljivost Zerologon (CVE-2020-1472), pomagajo napadalcem, da se premaknejo globlje v sisteme.

V mnogih primerih napadalci izkoristijo protokole za oddaljeno namizje (RDP) in orodja, kot je Cobalt Strike, da vzpostavijo ukazno-nadzorne (C2) povezave. Predvsem včasih registrirajo svoje naprave v sistemih MFA, kar jim omogoča dolgoročno vzdrževanje stalnega dostopa, ne da bi pri tem vzbudili sum.

Ciljanje na Active Directory in več

Iranski kibernetski akterji se vedno bolj osredotočajo na ogrožanje Active Directoryja, ki je hrbtenica številnih podjetniških IT okolij. Active Directory igra ključno vlogo pri upravljanju avtentikacije uporabnikov in dovoljenj v omrežjih. Kompromis tega sistema omogoča napadalcem, da povečajo privilegije, kar jim omogoči dostop do zelo občutljivih informacij in nadzor nad kritičnimi sistemi.

Nedavni premiki v krajini globalnih groženj kažejo tudi na trend sodelovanja med hekerskimi skupinami nacionalnih držav in organizacijami kibernetskega kriminala. Microsoftovo poročilo o digitalni obrambi za leto 2024 poudarja, da iranski napadalci, ki jih sponzorira država, ne izvajajo operacij le iz geopolitičnih razlogov, ampak jih motivira tudi finančna korist. Z zunanjim izvajanjem delov svojih operacij kibernetskim kriminalcem razširijo svoj doseg in hkrati ohranijo nižji profil.

Kaj lahko storijo organizacije

Za ublažitev teh tveganj morajo organizacije v ciljnih sektorjih sprejeti proaktivne ukrepe:

• Izvedite MFA, odporen proti lažnemu predstavljanju, kjer koli je to mogoče. Če to ni izvedljivo, uporabite ujemanje številk kot sekundarno možnost preverjanja pristnosti.
• Redno preverjajte in popravljajte ranljivosti, zlasti v imeniku Active Directory in drugih kritičnih sistemih.
• Usposobite zaposlene, da prepoznajo znake utrujenosti MFA, in jih spodbudite, da prijavijo sumljive poskuse prijave.
• Spremljajte omrežni promet za nenavadno dejavnost, zlasti odhodne povezave z znano infrastrukturo C2.
• Sodelujte z vladnimi agencijami in kolegi iz industrije, da boste obveščeni o najnovejših grožnjah in najboljših praksah za obrambo.

Pot naprej

Ker kibernetski napadi postajajo vse bolj sofisticirani in prepleteni z globalnimi geopolitičnimi cilji, morajo biti podjetja previdna. Celoletna kampanja iranskih kibernetskih akterjev služi kot oster opomin, da je mogoče ogrožati tudi najbolj robustne varnostne sisteme brez ustrezne obrambe.

Biti pred temi grožnjami zahteva nenehno prilagajanje, sodelovanje in zavezanost najboljšim praksam kibernetske varnosti. Čeprav noben sistem ni neprepusten, imajo obveščene in pripravljene organizacije veliko boljše možnosti, da se uprejo naraščajočemu valu kibernetskih napadov.