JAV kibernetinės agentūros, FTB ir NSA šiandien paskelbė skubų įspėjimą apie galimus iraniečių kibernetinius kibernetinius išpuolius, susijusius su įsilaužtiniais įsilaužėliais, nukreiptais į kritinę infrastruktūrą.
CISA sako, kad nėra jokių požymių apie vykstančią kampaniją, tačiau ragina kritines infrastruktūros organizacijas ir kitus potencialius tikslus stebėti savo gynybą dėl dabartinių neramumų Viduriniuose Rytuose ir kibernetines išpuolius, anksčiau susijusius su Iranu.
Bendrame faktų lape kibernetinės agentūros perspėja, kad gynybos pramonės bazės (DIB) bendrovėms, turinčioms ryšių su Izraelio gynyba ir tyrimais, padidėja rizika, kad jos bus nukreiptos. Kitos kritinės infrastruktūros sektorių organizacijos, įskaitant energiją, vandenį ir sveikatos priežiūrą, taip pat laikomos galimais tikslais.
Patarimas perspėja, kad žinoma, kad Irano grėsmės veikėjams Iranas išnaudoja nepaliestus pažeidžiamumus arba naudoja numatytuosius slaptažodžius, kad gautų pažeidimo sistemas. Tai buvo pastebėta praėjusiais metais, kai 2023 m. Lapkričio mėn. IRGC priklausantys Irano grėsmės veikėjai pažeidė Pensilvanijos vandens objektą, įsilaužę į „Unitronics“ programuojamus logikos valdiklius (PLCS), paveiktus internete.
Iraniečiai susiję įsilaužėliai taip pat dirba su hactivistais arba veikia kaip hactivistai, atlikus paskirstytų paslaugų teikimo (DDoS) išpuolius ar išsklaidydami svetaines. Šie išpuoliai dažnai vykdomi kartu su politiškai motyvuotomis žinutėmis, o užpuolikai reklamuoja savo veiklą X ir telegramose.
Irano grėsmės aktoriai taip pat buvo pastebėti naudojant „Ransomware“ arba dirbant kaip filialai su Rusijos „Ransomware“ gaujomis, tokiomis kaip „Noescape“, „Ransomhouse“ ir „AlphV“ (dar žinomas kaip „Blackcat“). Daugelis šių išpuolių buvo sutelkti į Izraelio kompanijas, kur jie užšifravo prietaisus ir nutekino pavogtus duomenis.
Kai kuriais atvejais užpuolikai naudojo duomenų valytuvus, o ne „Ransomware“, norėdami surengti destruktyvius išpuolius prieš organizacijas.
Švelninimo išpuoliai
CISA, DOD, FTB ir NSA ragina organizacijas priimti šią geriausią praktiką, kad apsaugotų nuo šių grėsmių:
- Išskirkite OT ir ICS sistemas nuo viešojo interneto ir ribojate nuotolinę prieigą.
- Visoms internetinėms paskyroms ir sistemoms naudokite stiprius, unikalius slaptažodžius, pakeisdami visus numatytuosius paskyros slaptažodžius.
- Įgalinkite daugiafaktoriaus autentifikavimą (MFA) kritinėms sistemoms ir autentifikavimo platformoms.
- Įdiekite visus programinės įrangos atnaujinimus, ypač į internetą nukreiptose sistemose, kad ištaisytumėte žinomus pažeidžiamumus.
- Stebėkite tinklus ir serverius, kad gautumėte neįprastą veiklą.
- Sukurkite ir išbandykite reagavimo į įvykius planus, kad įsitikintumėte, jog visos atsarginės kopijos ir atkūrimo planai veikia.
Norėdami gauti daugiau informacijos, organizacijos gali perskaityti CISA Irano grėsmės apžvalgą ir FTB Irano grėsmės tinklalapius.
Nors debesų atakos gali tapti sudėtingesnės, užpuolikai vis tiek pasiseka stebėtinai paprastomis technikomis.
Remiantis „Wiz“ aptikimais tūkstančiais organizacijų, šioje ataskaitoje pateikiami 8 pagrindiniai metodai, kuriuos naudoja „Cloud Fluent“ grėsmės veikėjai.
