Báo giá giảm giá nhiều giấy phép
Bảo mật máy tính Hãy cẩn thận! Các cuộc tấn công mạng của Iran đe dọa cơ...

Hãy cẩn thận! Các cuộc tấn công mạng của Iran đe dọa cơ sở hạ tầng quan trọng trong chiến dịch toàn cầu đang diễn ra

Đến năm Mura năm Bảo mật máy tính
Dịch sang:
Tiếng Việt Nam

Trong thế giới không ngừng phát triển của các mối đe dọa mạng, một trong những xu hướng đáng báo động nhất là sự gia tăng các cuộc tấn công mạng do nhà nước tài trợ nhắm vào cơ sở hạ tầng quan trọng . Các cố vấn chung gần đây từ các cơ quan tình báo và an ninh mạng trên khắp Hoa Kỳ, Úc và Canada tiết lộ một chiến dịch kéo dài cả năm của các tác nhân mạng Iran nhằm vào các lĩnh vực quan trọng như chăm sóc sức khỏe, năng lượng, chính phủ và công nghệ thông tin.

Các phương pháp đằng sau các cuộc tấn công mạng của Iran

Kể từ tháng 10 năm 2023, các tác nhân mạng Iran đã sử dụng các cuộc tấn công brute-force và rải mật khẩu để xâm nhập vào các tổ chức . Các chiến thuật này bao gồm việc đoán mật khẩu một cách có hệ thống và áp đảo các hệ thống đăng nhập để có được quyền truy cập trái phép vào tài khoản người dùng. Các lĩnh vực như chăm sóc sức khỏe, kỹ thuật và dịch vụ chính phủ là mục tiêu chính, do tính nhạy cảm và tầm quan trọng của chúng.

Một chiến thuật mới nổi được những kẻ tấn công này sử dụng là tấn công đẩy xác thực đa yếu tố (MFA), còn được gọi là mệt mỏi MFA. Bằng cách làm ngập người dùng bằng các yêu cầu MFA lặp đi lặp lại, những kẻ tấn công hy vọng sẽ làm phiền hoặc khiến nạn nhân nhầm lẫn để vô tình chấp thuận quyền truy cập. Ray Carney, một chuyên gia an ninh mạng tại Tenable, đề xuất sử dụng MFA chống lừa đảo hoặc sử dụng khớp số để có quy trình xác thực an toàn hơn.

Mục tiêu chính của các cuộc tấn công này là đánh cắp thông tin xác thực và thông tin mạng chi tiết, sau đó được bán trên các diễn đàn ngầm. Điều này tạo cơ hội cho những tên tội phạm mạng khác khai thác các hệ thống bị xâm phạm để thực hiện các cuộc tấn công tiếp theo, phù hợp với bối cảnh an ninh mạng rộng lớn hơn về sự hợp tác giữa các nhóm do nhà nước bảo trợ và tội phạm mạng có tổ chức.

Kỹ thuật tấn công nâng cao

Sau khi truy cập ban đầu, những kẻ tấn công Iran thường tiến hành trinh sát kỹ lưỡng các hệ thống của mục tiêu. Chúng sử dụng các công cụ "living-off-the-land" (LotL), tận dụng cơ sở hạ tầng của chính tổ chức để không bị phát hiện. Các khai thác leo thang đặc quyền, chẳng hạn như lỗ hổng Zerologon nổi tiếng (CVE-2020-1472), giúp kẻ tấn công tiến sâu hơn vào các hệ thống.

Trong nhiều trường hợp, kẻ tấn công tận dụng các giao thức máy tính từ xa (RDP) và các công cụ như Cobalt Strike để thiết lập kết nối chỉ huy và kiểm soát (C2). Đáng chú ý, đôi khi chúng đăng ký thiết bị của riêng mình với hệ thống MFA, cho phép chúng duy trì quyền truy cập liên tục trong thời gian dài mà không gây nghi ngờ.

Nhắm mục tiêu vào Active Directory và hơn thế nữa

Các tác nhân mạng Iran ngày càng tập trung vào việc xâm phạm Active Directory, xương sống của nhiều môi trường CNTT doanh nghiệp. Active Directory đóng vai trò quan trọng trong việc quản lý xác thực và quyền của người dùng trên các mạng. Việc xâm phạm hệ thống này cho phép kẻ tấn công leo thang đặc quyền, cho phép chúng truy cập vào thông tin cực kỳ nhạy cảm và kiểm soát các hệ thống quan trọng.

Những thay đổi gần đây trong bối cảnh đe dọa toàn cầu cũng chỉ ra xu hướng hợp tác giữa các nhóm tin tặc quốc gia và các tổ chức tội phạm mạng. Báo cáo Phòng thủ Kỹ thuật số năm 2024 của Microsoft nhấn mạnh rằng những kẻ tấn công được nhà nước Iran bảo trợ không chỉ tiến hành các hoạt động vì lý do địa chính trị mà còn có động cơ là lợi ích tài chính. Bằng cách thuê ngoài một số hoạt động của mình cho tội phạm mạng, chúng mở rộng phạm vi hoạt động trong khi vẫn giữ được mức độ nhận diện thấp hơn.

Những gì tổ chức có thể làm

Để giảm thiểu những rủi ro này, các tổ chức trong các lĩnh vực mục tiêu phải thực hiện các biện pháp chủ động:

  • Triển khai MFA chống lừa đảo bất cứ khi nào có thể. Nếu không khả thi, hãy sử dụng khớp số làm tùy chọn xác thực thứ cấp.
  • Kiểm tra và vá lỗ hổng thường xuyên, đặc biệt là trong Active Directory và các hệ thống quan trọng khác.
  • Đào tạo nhân viên cách nhận biết các dấu hiệu mệt mỏi của MFA và khuyến khích họ báo cáo những nỗ lực đăng nhập đáng ngờ.
  • Theo dõi lưu lượng mạng để phát hiện hoạt động bất thường, đặc biệt là các kết nối đi đến cơ sở hạ tầng C2 đã biết.
  • Hợp tác với các cơ quan chính phủ và các đồng nghiệp trong ngành để nắm bắt thông tin về các mối đe dọa mới nhất và các biện pháp phòng thủ tốt nhất.

Con Đường Phía Trước

Khi các cuộc tấn công mạng trở nên tinh vi hơn và gắn liền với các mục tiêu địa chính trị toàn cầu, các doanh nghiệp phải cảnh giác. Chiến dịch kéo dài một năm của các tác nhân mạng Iran là lời nhắc nhở nghiêm khắc rằng ngay cả những hệ thống an ninh mạnh mẽ nhất cũng có thể bị xâm phạm nếu không có biện pháp phòng thủ phù hợp.

Để luôn đi trước những mối đe dọa này đòi hỏi phải liên tục thích nghi, hợp tác và cam kết thực hiện các biện pháp an ninh mạng tốt nhất. Mặc dù không có hệ thống nào là bất khả xâm phạm, nhưng các tổ chức được thông báo và chuẩn bị sẽ có cơ hội tốt hơn nhiều để chống lại làn sóng tấn công mạng ngày càng gia tăng.

Đang tải...