Δεκαέξι ομάδες προηγμένων επίμονων απειλών (APT) στόχευσαν οργανισμούς στη Μέση Ανατολή τα τελευταία δύο χρόνια με κυβερνοεπιθέσεις που επικεντρώθηκαν σε κυβερνητικούς φορείς, κατασκευαστικές εταιρείες και την ενεργειακή βιομηχανία.
Οι παράγοντες του APT έχουν στοχεύσει κυρίως οργανισμούς στη Σαουδική Αραβία, τα Ηνωμένα Αραβικά Εμιράτα και το Ισραήλ και περιλαμβάνουν γνωστές ομάδες όπως η Oilrig και η Molerats, καθώς και λιγότερο γνωστές οντότητες όπως η Bahamut και η Hexane, σύμφωνα με ανάλυση που δημοσιεύθηκε τον Μάρτιο. 27 από την εταιρεία υπηρεσιών κυβερνοασφάλειας Positive Technologies.
Οι ομάδες στοχεύουν να αποκτήσουν πληροφορίες που φέρνουν τους κρατικούς χορηγούς τους σε πολιτικό, οικονομικό και στρατιωτικό πλεονέκτημα, είπαν οι ερευνητές. Κατέγραψαν 141 επιτυχημένες επιθέσεις που θα μπορούσαν να αποδοθούν στις ομάδες.
«Οι εταιρείες θα πρέπει να δώσουν προσοχή σε ποιες τακτικές και τεχνικές χρησιμοποιούν οι ομάδες APT που επιτίθενται στην περιοχή», λέει η Yana Avezova, ανώτερη αναλυτής ασφάλειας πληροφοριών στη Positive Technologies. «Οι εταιρείες στην περιοχή της Μέσης Ανατολής μπορούν να κατανοήσουν πώς λειτουργούν συνήθως αυτές οι ομάδες και να προετοιμαστούν για ορισμένα βήματα ανάλογα».
Η εταιρεία κυβερνοασφάλειας χρησιμοποίησε την ανάλυσή της για να προσδιορίσει τους πιο δημοφιλείς τύπους επιθέσεων που χρησιμοποιούνται από τους παράγοντες του APT, συμπεριλαμβανομένου του phishing για αρχική πρόσβαση, της κρυπτογράφησης και της συγκάλυψης του κακόβουλου κώδικά τους και της επικοινωνίας χρησιμοποιώντας κοινά πρωτόκολλα επιπέδου εφαρμογής, όπως το Internet Relay Chat (IRC). ή αιτήματα DNS.
Από τους 16 παράγοντες της APT, έξι ομάδες - συμπεριλαμβανομένων των APT 35 και Moses Staff - συνδέονταν με το Ιράν, τρεις ομάδες - όπως οι Molerats - συνδέονταν με τη Χαμάς και δύο ομάδες συνδέονταν με την Κίνα. Η ανάλυση κάλυπτε μόνο επιθέσεις στον κυβερνοχώρο από ομάδες που θεωρούνται τόσο περίπλοκες όσο και επίμονες, με τις Positive Technologies να ανεβάζουν ορισμένες ομάδες (όπως το Moses Staff) σε καθεστώς APT, παρά ως ομάδα χακτιβιστών.
"Κατά τη διάρκεια της έρευνας, καταλήξαμε στο συμπέρασμα ότι ορισμένες από τις ομάδες που κατηγοριοποιήθηκαν ως hacktivists από ορισμένους πωλητές δεν είναι στην πραγματικότητα hacktivist στη φύση." ανέφερε η έκθεση, προσθέτοντας ότι «μετά από μια πιο εις βάθος ανάλυση, καταλήξαμε στο συμπέρασμα ότι οι επιθέσεις του Moses Staff είναι πιο εξελιγμένες από τις hacktivist και η ομάδα αποτελεί μεγαλύτερη απειλή από ό,τι συνήθως οι ομάδες hacktivist».
Κορυφαίοι αρχικοί φορείς: Επιθέσεις ψαρέματος, απομακρυσμένη εκμετάλλευση
Η ανάλυση αντιστοιχίζει τις διάφορες τεχνικές που χρησιμοποιούνται από κάθε ομάδα στο πλαίσιο MITER AT&CK για να καθορίσει τις πιο κοινές τακτικές που χρησιμοποιούνται μεταξύ των ομάδων APT που δραστηριοποιούνται στη Μέση Ανατολή.
Οι πιο συνηθισμένες τακτικές για την απόκτηση αρχικής πρόσβασης περιλαμβάνουν επιθέσεις phishing —που χρησιμοποιούνται από 11 ομάδες APT— και εκμετάλλευση τρωτών σημείων σε εφαρμογές που αντιμετωπίζουν το κοινό, οι οποίες χρησιμοποιήθηκαν από πέντε ομάδες. Τρεις από τις ομάδες χρησιμοποιούν επίσης κακόβουλο λογισμικό που έχει αναπτυχθεί σε ιστότοπους ως μέρος μιας επίθεσης που στοχεύει επισκέπτες σε αυτό που είναι επίσης γνωστό ως επίθεση λήψης μέσω οδήγησης.
«Οι περισσότερες ομάδες APT ξεκινούν επιθέσεις σε εταιρικά συστήματα με στοχευμένο ηλεκτρονικό ψάρεμα», ανέφερε η έκθεση. «Τις περισσότερες φορές, αυτό περιλαμβάνει καμπάνιες ηλεκτρονικού ταχυδρομείου με κακόβουλο περιεχόμενο. Εκτός από το ηλεκτρονικό ταχυδρομείο, ορισμένοι εισβολείς — όπως οι APT35, Bahamut, Dark Caracal, OilRig — χρησιμοποιούν κοινωνικά δίκτυα και αγγελιοφόρους για επιθέσεις phishing».
Μόλις μπήκαν στο δίκτυο, όλες οι ομάδες εκτός από μία συγκέντρωσαν πληροφορίες για το περιβάλλον, συμπεριλαμβανομένου του λειτουργικού συστήματος και του υλικού, ενώ οι περισσότερες ομάδες (81%) απαρίθμησαν επίσης τους λογαριασμούς χρηστών στο σύστημα και συνέλεξαν δεδομένα διαμόρφωσης δικτύου (69%), σύμφωνα με κανω ΑΝΑΦΟΡΑ.
Ενώ η «ζωή από τη γη» έχει γίνει μια σημαντική ανησυχία μεταξύ των επαγγελματιών της κυβερνοασφάλειας, σχεδόν όλοι οι εισβολείς (94%) κατέβασαν πρόσθετα εργαλεία επίθεσης από εξωτερικά δίκτυα. Δεκατέσσερις από τις 16 ομάδες APT χρησιμοποίησαν πρωτόκολλα επιπέδου εφαρμογής — όπως IRC ή DNS — για να διευκολύνουν τη λήψη, αναφέρει η έκθεση.
Επικεντρώθηκε στον Μακροπρόθεσμο Έλεγχο
Οι ομάδες APT επικεντρώνονται συνήθως στον μακροπρόθεσμο έλεγχο της υποδομής, δραστηριοποιούνται σε μια «γεωπολιτικά κρίσιμη στιγμή», αναφέρει η Positive Technologies στην έκθεση. Για να αποτρέψουν την επιτυχία τους, οι εταιρείες θα πρέπει να προσέχουν τις συγκεκριμένες τακτικές τους, αλλά και να επικεντρώνονται στη σκλήρυνση της πληροφορικής και της επιχειρησιακής τεχνολογίας τους.
Η απογραφή και η ιεράρχηση των περιουσιακών στοιχείων, η χρήση της παρακολούθησης συμβάντων και η απόκριση συμβάντων, καθώς και η εκπαίδευση των εργαζομένων ώστε να είναι περισσότερο ενήμεροι για θέματα κυβερνοασφάλειας είναι όλα κρίσιμα βήματα για τη μακροπρόθεσμη ασφάλεια, λέει η Avezova της Positive Technologies.
«Εν ολίγοις, είναι σημαντικό να τηρούμε τις βασικές αρχές της κυβερνοασφάλειας με γνώμονα τα αποτελέσματα», λέει, προσθέτοντας ότι «τα πρώτα βήματα που πρέπει να γίνουν είναι η αντιμετώπιση των πιο συχνά χρησιμοποιούμενων τεχνικών επίθεσης».
Από τις 16 ομάδες, η πλειοψηφία στόχευε οργανώσεις σε έξι διαφορετικά έθνη της Μέσης Ανατολής: 14 στόχευσαν τη Σαουδική Αραβία. 12 τα ΗΑΕ· 10 Ισραήλ· εννέα Jordan? και οκτώ στόχευσαν την Αίγυπτο και το Κουβέιτ.
Ενώ η κυβέρνηση, η μεταποίηση και η ενέργεια ήταν οι πιο συχνά στοχευόμενοι τομείς, τα μέσα μαζικής ενημέρωσης και το στρατιωτικό-βιομηχανικό σύμπλεγμα αποτελούν ολοένα και πιο συνηθισμένους στόχους θυμάτων, αναφέρει η εταιρεία στην έκθεση.
Με την αυξανόμενη στόχευση κρίσιμων βιομηχανιών, οι οργανισμοί θα πρέπει να αντιμετωπίζουν την ασφάλεια στον κυβερνοχώρο ως κρίσιμη πρωτοβουλία, ανέφερε η έκθεση.
«[Ο]πρωταρχικός στόχος [θα πρέπει] να είναι η εξάλειψη της πιθανότητας μη ανεκτών γεγονότων — συμβάντων που εμποδίζουν έναν οργανισμό να επιτύχει τους επιχειρησιακούς ή στρατηγικούς του στόχους ή οδηγούν σε σημαντική διακοπή της βασικής του δραστηριότητας ως αποτέλεσμα κυβερνοεπίθεσης», εταιρεία αναφέρει στην έκθεση. «Αυτές οι εκδηλώσεις ορίζονται από την ανώτατη διοίκηση του οργανισμού και θέτουν τα θεμέλια για μια στρατηγική κυβερνοασφάλειας».
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/vulnerabilities-threats/saudi-arabia-uae-top-list-of-apt-targeted-nations-in-middle-east
