Mag-ingat! Ang Iranian Cyberattacks ay Nagbabanta sa Kritikal na Imprastraktura sa Patuloy na Pandaigdigang Kampanya
Sa patuloy na umuusbong na mundo ng mga banta sa cyber, ang isa sa mga pinakanakaaalarma na uso ay ang pagtaas ng mga cyberattack na inisponsor ng estado na nagta-target sa mga kritikal na imprastraktura . Ang mga kamakailang pinagsamang payo mula sa cybersecurity at mga ahensya ng paniktik sa buong US, Australia, at Canada ay nagpapakita ng isang patuloy na kampanya ng mga Iranian cyber actor na naglalayon sa mga pangunahing sektor tulad ng pangangalaga sa kalusugan, enerhiya, pamahalaan, at teknolohiya ng impormasyon.
Talaan ng mga Nilalaman
Ang Mga Paraan sa Likod ng Iranian Cyberattacks
Mula noong Oktubre 2023, gumamit ang mga Iranian cyber actor ng mga malupit na pag-atake at pag-spray ng password upang makalusot sa mga organisasyon . Kasama sa mga taktikang ito ang sistematikong paghula ng mga password at napakaraming sistema ng pag-log in upang makakuha ng hindi awtorisadong pag-access sa mga user account. Ang mga sektor tulad ng pangangalagang pangkalusugan, engineering, at mga serbisyo ng pamahalaan ay pangunahing mga target, dahil sa kanilang pagiging sensitibo at kahalagahan.
Ang isang umuusbong na taktika na ginagamit ng mga umaatake na ito ay ang multi-factor authentication (MFA) push bombing, na kilala rin bilang MFA fatigue. Sa pamamagitan ng pagbaha sa mga user ng paulit-ulit na kahilingan sa MFA, umaasa ang mga umaatake na inisin o malito ang mga biktima sa hindi sinasadyang pag-apruba ng pag-access. Iminumungkahi ni Ray Carney, isang dalubhasa sa cybersecurity sa Tenable, ang paggamit ng MFA na lumalaban sa phishing o paggamit ng pagtutugma ng numero para sa mas ligtas na proseso ng pagpapatunay.
Ang pangunahing layunin ng mga pag-atake na ito ay magnakaw ng mga kredensyal at detalyadong impormasyon ng network, na pagkatapos ay ibinebenta sa mga underground na forum. Lumilikha ito ng mga pagkakataon para sa iba pang mga cybercriminal na pagsamantalahan ang mga nakompromisong system para sa higit pang mga pag-atake, na umaayon sa mas malawak na cybersecurity landscape ng pakikipagtulungan sa pagitan ng mga grupong inisponsor ng estado at organisadong cybercrime.
Mga Advanced na Teknik sa Pag-atake
Pagkatapos ng paunang pag-access, ang mga Iranian attacker ay karaniwang nagsasagawa ng masusing pag-reconnaissance sa mga system ng target. Gumagamit sila ng mga tool na "living-off-the-land" (LotL), na gumagamit ng sariling imprastraktura ng organisasyon upang manatiling hindi natukoy. Ang mga pagsasamantala sa pagdami ng pribilehiyo, gaya ng kilalang kahinaan ng Zerologon (CVE-2020-1472), ay tumutulong sa mga umaatake na lumipat nang mas malalim sa mga system.
Sa maraming kaso, ginagamit ng mga attacker ang mga remote desktop protocol (RDP) at mga tool tulad ng Cobalt Strike para magtatag ng mga command-and-control (C2) na koneksyon. Kapansin-pansin, minsan ay nagrerehistro sila ng sarili nilang mga device sa mga MFA system, na nagbibigay-daan sa kanila na mapanatili ang patuloy na pag-access sa mahabang panahon nang hindi nagtataas ng hinala.
Pag-target sa Active Directory at Higit pa
Ang mga Iranian cyber actor ay lalong tumutuon sa pagkompromiso sa Active Directory, ang backbone ng maraming enterprise IT environment. Ang Active Directory ay gumaganap ng isang mahalagang papel sa pamamahala ng pagpapatunay ng user at mga pahintulot sa mga network. Ang kompromiso ng system na ito ay nagbibigay-daan sa mga umaatake na palakihin ang mga pribilehiyo, na nagbibigay sa kanila ng access sa napakasensitibong impormasyon at kontrol sa mga kritikal na sistema.
Ang mga kamakailang pagbabago sa pandaigdigang tanawin ng pagbabanta ay tumutukoy din sa isang trend ng pakikipagtulungan sa pagitan ng mga grupo ng pag-hack ng bansa at mga organisasyong cybercriminal. Itinatampok ng 2024 Digital Defense Report ng Microsoft na ang mga attacker na itinataguyod ng estado ng Iran ay hindi lamang nagsasagawa ng mga operasyon para sa geopolitical na mga kadahilanan ngunit nauudyok din ng pakinabang sa pananalapi. Sa pamamagitan ng pag-outsourcing ng mga bahagi ng kanilang mga operasyon sa mga cybercriminal, pinapalawak nila ang kanilang abot habang pinapanatili ang isang mas mababang profile.
Ano ang Magagawa ng Mga Organisasyon
Upang mapagaan ang mga panganib na ito, ang mga organisasyon sa mga target na sektor ay dapat gumawa ng mga proactive na hakbang:
- Ipatupad ang MFA na lumalaban sa phishing hangga't maaari. Kung hindi magagawa, gamitin ang pagtutugma ng numero bilang pangalawang opsyon sa pagpapatotoo.
- Regular na i-audit at i-patch ang mga kahinaan, partikular sa Active Directory at iba pang kritikal na system.
- Sanayin ang mga empleyado na kilalanin ang mga palatandaan ng pagkapagod ng MFA at hikayatin silang mag-ulat ng mga kahina-hinalang pagsubok sa pag-log in.
- Subaybayan ang trapiko sa network para sa hindi pangkaraniwang aktibidad, lalo na ang mga papalabas na koneksyon sa kilalang imprastraktura ng C2.
- Makipagtulungan sa mga ahensya ng gobyerno at mga kapantay sa industriya upang manatiling may kaalaman tungkol sa mga pinakabagong banta at pinakamahusay na kagawian para sa depensa.
Ang Daang Nauna
Habang ang mga cyberattack ay nagiging mas sopistikado at kaakibat ng mga pandaigdigang geopolitical na layunin, ang mga negosyo ay dapat maging mapagbantay. Ang isang taon na kampanya ng mga Iranian cyber actor ay nagsisilbing isang matinding paalala na kahit na ang pinakamatatag na sistema ng seguridad ay maaaring makompromiso nang walang wastong depensa sa lugar.
Ang pananatiling nangunguna sa mga banta na ito ay nangangailangan ng patuloy na pag-angkop, pakikipagtulungan, at isang pangako sa pinakamahuhusay na kagawian sa cybersecurity. Bagama't walang sistemang hindi tinatablan, ang mga organisasyong may kaalaman at nakahanda ay may mas magandang pagkakataon na mapaglabanan ang lumalagong alon ng cyberattacks.