Mastodon
Connect with us

Deep Web

Αυξημένες Κυβερνοεπιθέσεις από το Ιράν: Προειδοποιήσεις για Άμυνα και Κρίσιμες Υποδομές

Deep Web

Οι χάκερς χρησιμοποιούν Facebook Ads για διάδοση του JSCEAL

Deep Web

Νέο backdoor 'Plague' απειλεί κρίσιμα Linux συστήματα

Deep Web

Αυξημένες Κυβερνοεπιθέσεις από το Ιράν: Προειδοποιήσεις για Άμυνα και Κρίσιμες Υποδομές

Οι αμερικανικές υπηρεσίες προειδοποιούν για αυξημένες ιρανικές κυβερνοεπιθέσεις σε κρίσιμες υποδομές και δίκτυα άμυνας.

Published

10 months ago

on

Αυξημένες Κυβερνοεπιθέσεις από το Ιράν: Προειδοποιήσεις για Άμυνα και Κρίσιμες Υποδομές

Περιεχόμενα
Αύξηση των κυβερνοεπιθέσεων από ιρανικές ομάδες
Εκμετάλλευση ευπαθειών και κοινών κωδικών πρόσβασης
Αυξημένη επαγρύπνηση και στόχευση κρίσιμων υποδομών
Τεχνικές διείσδυσης και εργαλεία που χρησιμοποιούνται
Προηγούμενες επιθέσεις και τεχνικές
Προληπτικά μέτρα και στρατηγικές προστασίας
Συστάσεις για οργανισμούς

Αύξηση των κυβερνοεπιθέσεων από ιρανικές ομάδες

Οι αμερικανικές υπηρεσίες κυβερνοασφάλειας και πληροφοριών εξέδωσαν κοινή προειδοποίηση για πιθανές κυβερνοεπιθέσεις από κρατικούς ή συνδεδεμένους με το Ιράν απειλητικούς φορείς. Σύμφωνα με τις υπηρεσίες, παρατηρείται αυξημένη δραστηριότητα από χάκερ και ομάδες συνδεδεμένες με την ιρανική κυβέρνηση, η οποία αναμένεται να κλιμακωθεί λόγω των πρόσφατων γεγονότων.

Εκμετάλλευση ευπαθειών και κοινών κωδικών πρόσβασης

Οι κυβερνοεπιθέσεις συχνά εκμεταλλεύονται στόχους ευκαιρίας, βασιζόμενες στη χρήση μη ενημερωμένου ή παλαιωμένου λογισμικού με γνωστές ευπάθειες Common Vulnerabilities and Exposures (CVE) ή στη χρήση προεπιλεγμένων ή κοινών κωδικών πρόσβασης σε λογαριασμούς και συσκευές συνδεδεμένες στο διαδίκτυο.

Αυξημένη επαγρύπνηση και στόχευση κρίσιμων υποδομών

Παρόλο που δεν υπάρχουν αποδείξεις για συντονισμένη κακόβουλη δραστηριότητα στις Η.Π.Α. που να αποδίδεται στο Ιράν, οι υπηρεσίες όπως η Cybersecurity and Infrastructure Security Agency (CISA), το Federal Bureau of Investigation (FBI), το Department of Defense Cyber Crime Center (DC3) και η National Security Agency (NSA) υπογραμμίζουν την ανάγκη για αυξημένη επαγρύπνηση. Ιδιαίτερα οι εταιρείες του τομέα της άμυνας που συνδέονται με ισραηλινές ερευνητικές και αμυντικές εταιρείες βρίσκονται σε αυξημένο κίνδυνο. Οι Η.Π.Α. και το Ισραήλ ενδέχεται επίσης να εκτεθούν σε επιθέσεις DDoS και ransomware.

Τεχνικές διείσδυσης και εργαλεία που χρησιμοποιούνται

Οι επιτιθέμενοι συχνά ξεκινούν με εργαλεία αναγνώρισης όπως το Shodan για να εντοπίσουν ευάλωτες συσκευές που είναι εκτεθειμένες στο διαδίκτυο, ειδικά σε περιβάλλοντα συστημάτων ελέγχου βιομηχανίας (ICS). Μόλις αποκτήσουν πρόσβαση, μπορούν να εκμεταλλευτούν την αδύναμη τμηματοποίηση ή τις κακώς ρυθμισμένες firewalls για να κινηθούν πλευρικά στα δίκτυα. Οι ιρανικές ομάδες έχουν χρησιμοποιήσει στο παρελθόν εργαλεία απομακρυσμένης πρόσβασης (RATs), keyloggers και ακόμη και νόμιμα εργαλεία διαχείρισης όπως το PsExec ή το Mimikatz για να αυξήσουν την πρόσβασή τους, ενώ αποφεύγουν τις βασικές άμυνες των τερματικών συσκευών.

Προηγούμενες επιθέσεις και τεχνικές

Βασισμένες σε προηγούμενες εκστρατείες, οι επιθέσεις που πραγματοποιούνται από ιρανικούς απειλητικούς φορείς χρησιμοποιούν τεχνικές όπως η αυτόματη εικασία κωδικών πρόσβασης, η αποκρυπτογράφηση hash κωδικών πρόσβασης και οι προεπιλεγμένοι κωδικοί πρόσβασης κατασκευαστή για να αποκτήσουν πρόσβαση σε συσκευές εκτεθειμένες στο διαδίκτυο. Έχουν επίσης χρησιμοποιηθεί εργαλεία μηχανικής συστημάτων και διαγνωστικά εργαλεία για να παραβιάσουν δίκτυα τεχνολογίας λειτουργίας (OT).

Προληπτικά μέτρα και στρατηγικές προστασίας

Η ανάπτυξη αυτή έρχεται λίγες μέρες μετά την έκδοση δελτίου από το Υπουργείο Εσωτερικής Ασφάλειας των Η.Π.Α. (DHS), το οποίο προτρέπει τις οργανώσεις να είναι σε επιφυλακή για πιθανές “χαμηλού επιπέδου κυβερνοεπιθέσεις” από φιλοϊρανικούς χάκερ εν μέσω των συνεχιζόμενων γεωπολιτικών εντάσεων μεταξύ Ιράν και Ισραήλ. Την περασμένη εβδομάδα, η Check Point αποκάλυψε ότι η ιρανική ομάδα APT35 στόχευσε δημοσιογράφους, ειδικούς κυβερνοασφάλειας και καθηγητές επιστήμης υπολογιστών στο Ισραήλ ως μέρος μιας εκστρατείας spear-phishing που σχεδιάστηκε για να καταγράψει τα διαπιστευτήρια των λογαριασμών Google τους χρησιμοποιώντας ψεύτικες σελίδες σύνδεσης Gmail ή προσκλήσεις Google Meet.

Συστάσεις για οργανισμούς

Οι οργανισμοί καλούνται να ακολουθήσουν τα παρακάτω βήματα:

  • Αναγνώριση και αποσύνδεση των περιουσιακών στοιχείων OT και ICS από το δημόσιο διαδίκτυο
  • Εξασφάλιση ότι οι συσκευές και οι λογαριασμοί προστατεύονται με ισχυρούς, μοναδικούς κωδικούς πρόσβασης, αντικατάσταση αδύναμων ή προεπιλεγμένων κωδικών πρόσβασης και επιβολή πολυπαραγοντικού ελέγχου ταυτότητας (MFA)
  • Εφαρμογή ανθεκτικού στο phishing MFA για την πρόσβαση σε δίκτυα OT από οποιοδήποτε άλλο δίκτυο
  • Εξασφάλιση ότι τα συστήματα λειτουργούν με τις τελευταίες ενημερώσεις λογισμικού για την προστασία έναντι γνωστών ευπαθειών ασφαλείας
  • Παρακολούθηση των αρχείων καταγραφής πρόσβασης χρηστών για απομακρυσμένη πρόσβαση στο δίκτυο OT
  • Καθιέρωση διαδικασιών OT που αποτρέπουν μη εξουσιοδοτημένες αλλαγές, απώλεια προβολής ή απώλεια ελέγχου
  • Υιοθέτηση πλήρους αντιγράφου ασφαλείας συστήματος και δεδομένων για τη διευκόλυνση της ανάκαμψης

Για οργανισμούς που αναρωτιούνται από πού να ξεκινήσουν, μια πρακτική προσέγγιση είναι να αναθεωρήσουν πρώτα την εξωτερική επιφάνεια επίθεσης τους—ποια συστήματα είναι εκτεθειμένα, ποιοι θύρες είναι ανοιχτές και αν τυχόν παρωχημένες υπηρεσίες εξακολουθούν να λειτουργούν. Εργαλεία όπως το πρόγραμμα Cyber Hygiene της CISA ή ανοιχτού κώδικα σαρωτές όπως το Nmap μπορούν να βοηθήσουν στον εντοπισμό κινδύνων πριν το κάνουν οι επιτιθέμενοι. Η ευθυγράμμιση των αμυνών σας με το πλαίσιο MITRE ATT&CK καθιστά επίσης ευκολότερη την προτεραιοποίηση των προστασιών βάσει πραγματικών τακτικών που χρησιμοποιούνται από απειλητικούς φορείς.

“Παρά την ανακοινωθείσα εκεχειρία και τις συνεχιζόμενες διαπραγματεύσεις για μια μόνιμη λύση, οι συνδεδεμένοι με το Ιράν κυβερνοεγκληματίες και οι ομάδες χάκερ μπορεί να συνεχίσουν να διεξάγουν κακόβουλη κυβερνοδραστηριότητα,” ανέφεραν οι υπηρεσίες.

Related Topics:
Advertisement