Dieciséis grupos de amenazas persistentes avanzadas (APT, por sus siglas en inglés) atacaron organizaciones en Medio Oriente durante los últimos dos años con ciberataques centrados en agencias gubernamentales, empresas manufactureras y la industria energética.
Los actores de la APT se han dirigido principalmente a organizaciones en Arabia Saudita, los Emiratos Árabes Unidos e Israel e incluyen grupos conocidos como Oilrig y Molerats, así como entidades menos conocidas como Bahamut y Hexane, según un análisis publicado en marzo. 27 de la empresa de servicios de ciberseguridad Positive Technologies.
Los grupos pretenden obtener información que dé a sus patrocinadores estatales una ventaja política, económica y militar, dijeron los investigadores. Documentaron 141 ataques exitosos que podrían atribuirse a estos grupos.
"Las empresas deberían prestar atención a las tácticas y técnicas que utilizan los grupos APT que atacan la región", dice Yana Avezova, analista senior de seguridad de la información en Positive Technologies. "Las empresas de la región de Medio Oriente pueden comprender cómo operan normalmente estos grupos y prepararse para ciertos pasos en consecuencia".
La firma de ciberseguridad utilizó su análisis para determinar los tipos de ataques más populares utilizados por los actores de APT, incluido el phishing para el acceso inicial, el cifrado y camuflaje de su código malicioso y la comunicación mediante protocolos comunes de capa de aplicación, como Internet Relay Chat (IRC). o solicitudes de DNS.
De los 16 actores del APT, seis grupos (incluidos el APT 35 y Moses Staff) estaban vinculados con Irán, tres grupos (como Molerats) estaban vinculados con Hamas y dos grupos estaban vinculados con China. El análisis solo cubrió los ciberataques realizados por grupos considerados sofisticados y persistentes, y Positive Technologies elevó a algunos grupos (como Moses Staff) al estado APT, en lugar de a un grupo hactivista.
"Durante la investigación, llegamos a la conclusión de que algunos de los grupos categorizados como hacktivistas por ciertos proveedores no son en realidad hacktivistas por naturaleza". el informe declaró, y agregó que "después de un análisis más profundo, llegamos a la conclusión de que los ataques de Moses Staff son más sofisticados que los hacktivistas, y el grupo representa una amenaza mayor que la que suelen representar los grupos hacktivistas".
Principales vectores iniciales: ataques de phishing y explotación remota
El análisis asigna las diversas técnicas utilizadas por cada grupo al Marco MITRE AT&CK para determinar las tácticas más comunes utilizadas entre los grupos APT que operan en el Medio Oriente.
Las tácticas más comunes para obtener acceso inicial incluyen ataques de phishing (utilizados por 11 grupos de APT) y explotación de vulnerabilidades en aplicaciones públicas, que fue utilizado por cinco grupos. Tres de los grupos también utilizan malware implementado en sitios web como parte de un ataque de abrevadero dirigido a los visitantes en lo que también se conoce como ataque de descarga no autorizada.
"La mayoría de los grupos APT inician ataques a sistemas corporativos con phishing dirigido", afirma el informe. “En la mayoría de los casos, se trata de campañas de correo electrónico con contenido malicioso. Además del correo electrónico, algunos atacantes (como APT35, Bahamut, Dark Caracal, OilRig) utilizan redes sociales y mensajería para ataques de phishing”.
Una vez dentro de la red, todos menos un grupo recopilaron información sobre el entorno, incluido el sistema operativo y el hardware, mientras que la mayoría de los grupos (81%) también enumeraron las cuentas de usuario en el sistema y recopilaron datos de configuración de la red (69%), según el informe.
Si bien “vivir de la tierra” se ha convertido en una gran preocupación entre los profesionales de la ciberseguridad, casi todos los atacantes (94%) descargaron herramientas de ataque adicionales de redes externas. Catorce de los 16 grupos APT utilizaron protocolos de capa de aplicación, como IRC o DNS, para facilitar la descarga, según el informe.
Centrado en el control a largo plazo
Los grupos APT suelen centrarse en el control a largo plazo de la infraestructura y se vuelven activos durante un “momento geopolíticamente crucial”, afirmó Positive Technologies en el informe. Para evitar su éxito, las empresas deben prestar atención a sus tácticas específicas, pero también centrarse en reforzar su tecnología operativa y de información.
El inventario y la priorización de activos, el uso de monitoreo de eventos y respuesta a incidentes, y la capacitación de los empleados para que sean más conscientes de los problemas de ciberseguridad son pasos críticos para la seguridad a largo plazo, dice Avezova de Positive Technologies.
"En resumen, es importante adherirse a los principios clave de la ciberseguridad basada en resultados", afirma, y añade que "los primeros pasos a dar son contrarrestar las técnicas de ataque más utilizadas".
De los 16 grupos, la mayoría apuntaba a organizaciones en seis países diferentes del Medio Oriente: 14 apuntaban a Arabia Saudita; 12 los Emiratos Árabes Unidos; 10 Israel; nueve Jordania; y ocho apuntaron cada uno a Egipto y Kuwait.
Si bien el gobierno, la manufactura y la energía fueron los sectores más comúnmente atacados, los medios de comunicación y el complejo militar-industrial son objetivos cada vez más comunes, afirmó la compañía en el informe.
Con el creciente objetivo de industrias críticas, las organizaciones deberían tratar la ciberseguridad como una iniciativa crítica, afirma el informe.
"[E]l objetivo principal [debería ser] eliminar la posibilidad de eventos no tolerables: eventos que impiden que una organización alcance sus objetivos operativos o estratégicos o conducen a una interrupción significativa de su negocio principal como resultado de un ciberataque", empresa indicada en el informe. “Estos eventos son definidos por la alta dirección de la organización y sientan las bases para una estrategia de ciberseguridad”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/saudi-arabia-uae-top-list-of-apt-targeted-nations-in-middle-east
