Знижка на кілька ліцензій
Комп'ютерна безпека Обережно! Іранські кібератаки загрожують критичній...

Обережно! Іранські кібератаки загрожують критичній інфраструктурі в рамках триваючої глобальної кампанії

До Mura року в Комп'ютерна безпека році
Перекласти на:
Українська

У світі кіберзагроз, що постійно змінюється, однією з найбільш тривожних тенденцій є зростання спонсорованих державою кібератак, спрямованих на критичну інфраструктуру . Нещодавні спільні консультації служб кібербезпеки та розвідувальних служб США, Австралії та Канади свідчать про триваючу річну кампанію іранських кіберакторів, спрямовану на такі ключові сектори, як охорона здоров’я, енергетика, уряд та інформаційні технології.

Методи іранських кібератак

З жовтня 2023 року іранські кіберактори використовували атаки грубою силою та розпилення паролів, щоб проникнути в організації . Ця тактика передбачає систематичне вгадування паролів і перевантаження систем входу для отримання несанкціонованого доступу до облікових записів користувачів. Такі сектори, як охорона здоров’я, машинобудування та державні послуги, є головними цілями, враховуючи їх чутливість і важливість.

Однією з нових тактик, які використовують ці зловмисники, є багатофакторна автентифікація (MFA) push bombing, також відома як MFA fatigue. Засипаючи користувачів повторними запитами MFA, зловмисники сподіваються дратувати або збити з пантелику жертв, змусивши їх ненавмисно схвалити доступ. Рей Карні, експерт з кібербезпеки в Tenable, пропонує використовувати MFA, стійкий до фішингу, або використовувати відповідність номерів для безпечнішого процесу автентифікації.

Основною метою цих атак є викрадення облікових даних і детальної інформації про мережу, яка потім продається на підпільних форумах. Це створює можливості для інших кіберзлочинців використовувати скомпрометовані системи для подальших атак, відповідаючи ширшому ландшафту кібербезпеки співпраці між спонсорованими державою групами та організованою кіберзлочинністю.

Просунуті прийоми атаки

Після першого доступу іранські зловмисники зазвичай проводять ретельну розвідку систем цілі. Вони використовують інструменти «living-off-the-land» (LotL), які використовують власну інфраструктуру організації, щоб залишатися непоміченими. Експлойти підвищення привілеїв, такі як відома вразливість Zerologon (CVE-2020-1472), допомагають зловмисникам проникнути глибше в системи.

У багатьох випадках зловмисники використовують протоколи віддаленого робочого столу (RDP) і такі інструменти, як Cobalt Strike, для встановлення командно-контрольних (C2) з’єднань. Примітно, що вони іноді реєструють власні пристрої в системах MFA, що дозволяє їм підтримувати постійний доступ протягом тривалого часу, не викликаючи підозр.

Орієнтація на Active Directory і не тільки

Іранські кіберактори все більше зосереджуються на компрометації Active Directory, основ багатьох корпоративних ІТ-середовищ. Active Directory відіграє вирішальну роль в управлінні автентифікацією користувачів і дозволами в мережах. Компрометація цієї системи дозволяє зловмисникам підвищити привілеї, надаючи їм доступ до дуже конфіденційної інформації та контроль над критично важливими системами.

Нещодавні зміни в глобальному ландшафті загроз також вказують на тенденцію співпраці між хакерськими групами національних держав і організаціями кіберзлочинців. У звіті Microsoft про цифровий захист за 2024 рік підкреслюється, що спонсоровані державою іранські зловмисники проводять операції не лише з геополітичних міркувань, але й мотивовані фінансовою вигодою. Передаючи частини своїх операцій кіберзлочинцям, вони розширюють охоплення, зберігаючи менший профіль.

Що можуть зробити організації

Щоб зменшити ці ризики, організації в цільових секторах повинні вживати профілактичних заходів:

  • Застосуйте MFA, стійкий до фішингу, де це можливо. Якщо це неможливо, використовуйте зіставлення номерів як додатковий варіант автентифікації.
  • Регулярно перевіряйте та виправляйте вразливості, зокрема в Active Directory та інших критичних системах.
  • Навчіть співробітників розпізнавати ознаки втоми MFA та заохочуйте їх повідомляти про підозрілі спроби входу.
  • Відстежуйте мережевий трафік на наявність незвичайної активності, особливо вихідних з’єднань із відомою інфраструктурою C2.
  • Співпрацюйте з державними установами та колегами з галузі, щоб бути в курсі останніх загроз і найкращих практик захисту.

Дорога вперед

Оскільки кібератаки стають все більш витонченими та переплітаються з глобальними геополітичними цілями, бізнес повинен бути пильним. Річна кампанія іранських кіберакторів служить яскравим нагадуванням про те, що навіть найнадійніші системи безпеки можуть бути скомпрометовані без належного захисту.

Щоб випереджати ці загрози, потрібна постійна адаптація, співпраця та відданість найкращим практикам кібербезпеки. Хоча жодна система не є непроникною, поінформовані та підготовлені організації мають набагато більше шансів протистояти зростаючій хвилі кібератак.

Завантаження...