Rabattoffert för flera licenser
Datorsäkerhet Akta sig! Iranska cyberattacker hotar kritisk...

Akta sig! Iranska cyberattacker hotar kritisk infrastruktur i pågående global kampanj

Med Mura år Datorsäkerhet
Översätt till:
Svenska

I den ständigt föränderliga världen av cyberhot är en av de mest alarmerande trenderna ökningen av statligt sponsrade cyberattacker inriktade på kritisk infrastruktur . De senaste gemensamma råden från cybersäkerhets- och underrättelsebyråer i USA, Australien och Kanada avslöjar en pågående årslång kampanj av iranska cyberaktörer riktad mot nyckelsektorer som sjukvård, energi, myndigheter och informationsteknologi.

Metoderna bakom iranska cyberattacker

Sedan oktober 2023 har iranska cyberaktörer använt brute-force-attacker och lösenordssprayning för att infiltrera organisationer . Dessa taktiker innebär att systematiskt gissa lösenord och överväldigande inloggningssystem för att få obehörig åtkomst till användarkonton. Sektorer som sjukvård, teknik och statliga tjänster är främsta mål, med tanke på deras känslighet och betydelse.

En ny taktik som används av dessa angripare är multi-factor authentication (MFA) push-bombning, även känd som MFA fatigue. Genom att översvämma användare med upprepade MFA-förfrågningar hoppas angriparna irritera eller förvirra offren till att oavsiktligt godkänna åtkomst. Ray Carney, en cybersäkerhetsexpert på Tenable, föreslår att man använder phishing-resistent MFA eller använder nummermatchning för en säkrare autentiseringsprocess.

Det primära målet med dessa attacker är att stjäla referenser och detaljerad nätverksinformation, som sedan säljs på underjordiska forum. Detta skapar möjligheter för andra cyberbrottslingar att utnyttja komprometterade system för ytterligare attacker, i linje med det bredare cybersäkerhetslandskapet av samarbete mellan statligt sponsrade grupper och organiserad cyberbrottslighet.

Avancerade attacktekniker

Efter den första åtkomsten utför iranska angripare vanligtvis en noggrann spaning av målets system. De använder "living-off-the-land"-verktyg (LotL), som använder organisationens egen infrastruktur för att förbli oupptäckt. Exploateringar av privilegier, som den välkända Zerologon-sårbarheten (CVE-2020-1472), hjälper angripare att gå djupare in i systemen.

I många fall använder angripare fjärrskrivbordsprotokoll (RDP) och verktyg som Cobalt Strike för att upprätta kommando-och-kontroll (C2)-anslutningar. Noterbart är att de ibland registrerar sina egna enheter med MFA-system, vilket gör att de kan bibehålla beständig åtkomst under långa perioder utan att väcka misstankar.

Inriktning på Active Directory and Beyond

Iranska cyberaktörer fokuserar alltmer på att äventyra Active Directory, ryggraden i många företags IT-miljöer. Active Directory spelar en avgörande roll för att hantera användarautentisering och behörigheter över nätverk. Kompromissen med detta system tillåter angripare att eskalera privilegier, vilket ger dem tillgång till mycket känslig information och kontroll över kritiska system.

De senaste förändringarna i det globala hotlandskapet pekar också på en trend av samarbete mellan nationalstatliga hackningsgrupper och cyberkriminella organisationer. Microsofts digitala försvarsrapport 2024 visar att iranska statssponsrade angripare inte bara utför operationer av geopolitiska skäl utan också motiveras av ekonomisk vinning. Genom att lägga ut delar av sin verksamhet till cyberkriminella utökar de sin räckvidd samtidigt som de håller en lägre profil.

Vad organisationer kan göra

För att minska dessa risker måste organisationer inom riktade sektorer vidta proaktiva åtgärder:

  • Implementera phishing-resistent MFA där det är möjligt. Om det inte är möjligt, använd nummermatchning som ett sekundärt autentiseringsalternativ.
  • Granska och korrigera sårbarheter regelbundet, särskilt i Active Directory och andra kritiska system.
  • Träna anställda att känna igen tecken på MFA-trötthet och uppmuntra dem att rapportera misstänkta inloggningsförsök.
  • Övervaka nätverkstrafik för ovanlig aktivitet, särskilt utgående anslutningar till känd C2-infrastruktur.
  • Samarbeta med statliga myndigheter och branschkollegor för att hålla dig informerad om de senaste hoten och bästa praxis för försvaret.

Vägen framåt

När cyberattacker blir mer sofistikerade och sammanflätade med globala geopolitiska mål måste företag vara vaksamma. Den årslånga kampanjen av iranska cyberaktörer tjänar som en skarp påminnelse om att även de mest robusta säkerhetssystemen kan äventyras utan ordentliga försvar på plats.

Att ligga steget före dessa hot kräver ständig anpassning, samarbete och ett engagemang för bästa praxis för cybersäkerhet. Även om inget system är ogenomträngligt, har informerade och förberedda organisationer en mycket bättre chans att stå emot den växande vågen av cyberattacker.

Läser in...