ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ความปลอดภัยทางคอมพิวเตอร์ ระวัง!...

ระวัง! การโจมตีทางไซเบอร์ของอิหร่านคุกคามโครงสร้างพื้นฐานที่สำคัญในแคมเปญระดับโลกที่กำลังดำเนินอยู่

โดย Mura ใน ความปลอดภัยทางคอมพิวเตอร์
แปลเป็น:
ภาษาไทย

ในโลกของภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงตลอดเวลา แนวโน้มที่น่าตกใจที่สุดอย่างหนึ่งคือ การโจมตีทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐที่มุ่งเป้าไปที่โครงสร้างพื้นฐานที่สำคัญ คำแนะนำร่วมล่าสุดจากหน่วยงานด้านความปลอดภัยทางไซเบอร์และหน่วยข่าวกรองทั่วสหรัฐอเมริกา ออสเตรเลีย และแคนาดา เผยให้เห็นแคมเปญต่อเนื่องตลอดทั้งปีของผู้กระทำความผิดทางไซเบอร์ชาวอิหร่านที่มุ่งเป้าไปที่ภาคส่วนสำคัญ เช่น การดูแลสุขภาพ พลังงาน รัฐบาล และเทคโนโลยีสารสนเทศ

วิธีการเบื้องหลังการโจมตีทางไซเบอร์ของอิหร่าน

ตั้งแต่เดือนตุลาคม 2023 ผู้กระทำความผิดทางไซเบอร์ชาวอิหร่านได้ ใช้การโจมตีแบบบรูทฟอร์ซและการฉีดพ่นรหัสผ่านเพื่อแทรกซึมองค์กรต่างๆ กลวิธีเหล่านี้เกี่ยวข้องกับการเดารหัสผ่านอย่างเป็นระบบและระบบการเข้าสู่ระบบที่ล้นหลามเพื่อเข้าถึงบัญชีผู้ใช้โดยไม่ได้รับอนุญาต ภาคส่วนต่างๆ เช่น การดูแลสุขภาพ วิศวกรรม และบริการภาครัฐ เป็นเป้าหมายหลัก เนื่องจากมีความละเอียดอ่อนและความสำคัญ

กลวิธีใหม่อย่างหนึ่งที่ผู้โจมตีใช้คือการส่งคำขอ MFA ซ้ำๆ ไปยังผู้ใช้ โดยผู้โจมตีหวังว่าจะรบกวนหรือทำให้เหยื่อสับสนและอนุมัติการเข้าถึงโดยไม่ได้ตั้งใจ Ray Carney ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก Tenable แนะนำให้ใช้ MFA ที่ป้องกันการฟิชชิ่งหรือใช้การจับคู่หมายเลขเพื่อให้กระบวนการตรวจสอบสิทธิ์ปลอดภัยยิ่งขึ้น

เป้าหมายหลักของการโจมตีเหล่านี้คือการขโมยข้อมูลประจำตัวและข้อมูลเครือข่ายโดยละเอียด ซึ่งจากนั้นจะถูกนำไปขายในฟอรัมใต้ดิน การกระทำดังกล่าวสร้างโอกาสให้กับอาชญากรไซเบอร์รายอื่นๆ ในการใช้ประโยชน์จากระบบที่ถูกบุกรุกเพื่อทำการโจมตีเพิ่มเติม ซึ่งสอดคล้องกับภูมิทัศน์ด้านความปลอดภัยทางไซเบอร์ที่กว้างขึ้นของความร่วมมือระหว่างกลุ่มที่ได้รับการสนับสนุนจากรัฐและกลุ่มอาชญากรรมทางไซเบอร์ที่จัดตั้งขึ้น

เทคนิคการโจมตีขั้นสูง

หลังจากเข้าถึงครั้งแรก ผู้โจมตีชาวอิหร่านมักจะทำการลาดตระเวนระบบของเป้าหมายอย่างละเอียดถี่ถ้วน พวกเขาใช้เครื่องมือ "living-off-the-land" (LotL) ซึ่งใช้โครงสร้างพื้นฐานขององค์กรเองเพื่อไม่ให้ถูกตรวจพบ ช่องโหว่การเพิ่มสิทธิ์ เช่น ช่องโหว่ Zerologon ที่รู้จักกันดี (CVE-2020-1472) ช่วยให้ผู้โจมตีเจาะลึกเข้าไปในระบบได้มากขึ้น

ในหลายกรณี ผู้โจมตีใช้ประโยชน์จากโปรโตคอลเดสก์ท็อประยะไกล (RDP) และเครื่องมือเช่น Cobalt Strike เพื่อสร้างการเชื่อมต่อแบบสั่งการและควบคุม (C2) โดยเฉพาะอย่างยิ่ง บางครั้งผู้โจมตีจะลงทะเบียนอุปกรณ์ของตนเองกับระบบ MFA ซึ่งทำให้สามารถเข้าถึงอุปกรณ์ได้อย่างต่อเนื่องเป็นเวลานานโดยที่ไม่เป็นที่สงสัย

การกำหนดเป้าหมาย Active Directory และอื่น ๆ

ผู้กระทำความผิดทางไซเบอร์ชาวอิหร่านกำลังมุ่งเป้าโจมตี Active Directory ซึ่งเป็นกระดูกสันหลังของระบบไอทีขององค์กรต่างๆ มากขึ้นเรื่อยๆ Active Directory มีบทบาทสำคัญในการจัดการการรับรองความถูกต้องและการอนุญาตของผู้ใช้ในเครือข่ายต่างๆ การบุกรุกระบบนี้ทำให้ผู้โจมตีสามารถเพิ่มสิทธิ์ได้ ทำให้เข้าถึงข้อมูลที่ละเอียดอ่อนและควบคุมระบบที่สำคัญได้

การเปลี่ยนแปลงล่าสุดในภูมิทัศน์ภัยคุกคามทั่วโลกยังชี้ให้เห็นถึงแนวโน้มความร่วมมือระหว่างกลุ่มแฮกเกอร์ของรัฐชาติและองค์กรอาชญากรไซเบอร์ รายงาน Digital Defense ประจำปี 2024 ของ Microsoft เน้นย้ำว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลอิหร่านไม่ได้ดำเนินการเพียงเพื่อเหตุผลทางภูมิรัฐศาสตร์เท่านั้น แต่ยังได้รับแรงจูงใจจากผลกำไรทางการเงินอีกด้วย โดยการเอาท์ซอร์สบางส่วนของการดำเนินการให้กับอาชญากรไซเบอร์ พวกเขาจึงขยายขอบเขตการทำงานในขณะที่รักษาโปรไฟล์ให้ต่ำลง

สิ่งที่องค์กรสามารถทำได้

เพื่อบรรเทาความเสี่ยงเหล่านี้ องค์กรในภาคส่วนเป้าหมายจะต้องใช้มาตรการเชิงรุก:

  • ใช้ MFA ที่ป้องกันฟิชชิ่งได้ทุกครั้งที่ทำได้ หากทำไม่ได้ ให้ใช้การจับคู่หมายเลขเป็นตัวเลือกการตรวจสอบสิทธิ์รอง
  • ตรวจสอบและแก้ไขช่องโหว่เป็นประจำ โดยเฉพาะใน Active Directory และระบบสำคัญอื่นๆ
  • ฝึกอบรมพนักงานให้จดจำสัญญาณของความเหนื่อยล้าจาก MFA และสนับสนุนให้พวกเขารายงานความพยายามในการเข้าสู่ระบบที่น่าสงสัย
  • ตรวจสอบปริมาณการรับส่งข้อมูลเครือข่ายเพื่อหากิจกรรมที่ผิดปกติ โดยเฉพาะการเชื่อมต่อขาออกไปยังโครงสร้างพื้นฐาน C2 ที่รู้จัก
  • ร่วมมือกับหน่วยงานภาครัฐและเพื่อนร่วมอุตสาหกรรมเพื่อให้ทราบข้อมูลเกี่ยวกับภัยคุกคามล่าสุดและแนวทางปฏิบัติที่ดีที่สุดในการป้องกันประเทศ

ถนนข้างหน้า

เนื่องจากการโจมตีทางไซเบอร์มีความซับซ้อนมากขึ้นและเชื่อมโยงกับเป้าหมายทางภูมิรัฐศาสตร์ระดับโลก ธุรกิจต่างๆ จึงต้องเฝ้าระวัง แคมเปญตลอดทั้งปีของผู้กระทำความผิดทางไซเบอร์ชาวอิหร่านถือเป็นการเตือนใจอย่างชัดเจนว่าแม้แต่ระบบรักษาความปลอดภัยที่แข็งแกร่งที่สุดก็อาจถูกบุกรุกได้หากไม่มีการป้องกันที่เหมาะสม

การก้าวให้ทันต่อภัยคุกคามเหล่านี้ต้องอาศัยการปรับตัว ความร่วมมือ และความมุ่งมั่นในแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์อย่างต่อเนื่อง แม้ว่าจะไม่มีระบบใดที่ป้องกันได้ แต่องค์กรที่ได้รับข้อมูลและเตรียมพร้อมจะมีโอกาสรับมือกับการโจมตีทางไซเบอร์ที่เพิ่มมากขึ้นได้ดีกว่ามาก

กำลังโหลด...