شانزده گروه تهدید مداوم پیشرفته (APT) سازمانهای خاورمیانه را در دو سال گذشته با حملات سایبری متمرکز بر سازمانهای دولتی، شرکتهای تولیدی و صنعت انرژی هدف قرار دادند.
بر اساس تحلیلی که در ماه مارس منتشر شد، بازیگران APT بیشتر سازمانهایی را در عربستان سعودی، امارات متحده عربی و اسرائیل هدف قرار دادهاند و شامل گروههای معروفی مانند Oilrig و Molerats و همچنین نهادهای کمتر شناخته شده مانند Bahamut و Hexane هستند. 27 توسط شرکت خدمات امنیت سایبری Positive Technologies.
محققان گفتند که هدف این گروه ها به دست آوردن اطلاعاتی است که حامیان دولتی آنها را در یک مزیت سیاسی، اقتصادی و نظامی قرار می دهد. آنها 141 حمله موفقیت آمیز را که می تواند به گروه ها نسبت داده شود، ثبت کردند.
یانا آوزووا، تحلیلگر ارشد امنیت اطلاعات در Positive Technologies میگوید: «شرکتها باید به تاکتیکها و تکنیکهایی توجه کنند که گروههای APT که به منطقه حمله میکنند، چه استفاده میکنند. شرکتهای منطقه خاورمیانه میتوانند نحوه عملکرد این گروهها را درک کنند و بر این اساس برای مراحل خاصی آماده شوند.»
این شرکت امنیت سایبری از تجزیه و تحلیل خود برای تعیین محبوب ترین انواع حملات مورد استفاده توسط بازیگران APT استفاده کرد، از جمله فیشینگ برای دسترسی اولیه، رمزگذاری و استتار کد مخرب آنها، و برقراری ارتباط با استفاده از پروتکل های لایه برنامه رایج، مانند گفتگوی رله اینترنت (IRC). یا درخواست های DNS.
از 16 بازیگر APT، شش گروه - از جمله APT 35 و کارکنان موسی - با ایران، سه گروه - مانند Molerats - با حماس و دو گروه با چین مرتبط بودند. این تجزیه و تحلیل تنها حملات سایبری توسط گروههایی را پوشش میدهد که هم پیچیده و هم مداوم در نظر گرفته میشوند، با فناوریهای مثبت برخی از گروهها (مانند کارکنان موسی) را به جای یک گروه فعال، به وضعیت APT ارتقا میدهند.
"در طول تحقیق، ما به این نتیجه رسیدیم که برخی از گروههایی که توسط فروشندگان خاص به عنوان هکتیویست طبقهبندی شدهاند، در واقع ماهیت هکتیویست ندارند." گزارش بیان کردوی افزود: «پس از تجزیه و تحلیل عمیقتر، به این نتیجه رسیدیم که حملات کارکنان موسی پیچیدهتر از حملات هکتیویستی هستند و این گروه تهدیدی بزرگتر از گروههای هکتیویست است.»
بردارهای اولیه برتر: حملات فیشینگ، بهره برداری از راه دور
تجزیه و تحلیل تکنیک های مختلف مورد استفاده توسط هر گروه را به چارچوب MITER AT&CK ترسیم می کند تا متداول ترین تاکتیک های مورد استفاده در میان گروه های APT فعال در خاورمیانه را تعیین کند.
رایجترین تاکتیکها برای دستیابی به دسترسی اولیه شامل حملات فیشینگ - که توسط 11 گروه APT استفاده میشود - و سوء استفاده از آسیبپذیریها در برنامههای کاربردی عمومی است که توسط پنج گروه استفاده میشود. سه تا از این گروهها همچنین از بدافزاری استفاده میکنند که در وبسایتها به عنوان بخشی از حملهای که بازدیدکنندگان را هدف قرار میدهد، در حملهای که به دانلود درایو نیز معروف است، استفاده میکنند.
در این گزارش آمده است: «بیشتر گروههای APT حملاتی را به سیستمهای شرکتی با فیشینگ هدفمند آغاز میکنند». «بیشتر اوقات، این شامل کمپین های ایمیل با محتوای مخرب است. علاوه بر ایمیل، برخی از مهاجمان - مانند APT35، Bahamut، Dark Caracal، OilRig - از شبکههای اجتماعی و پیامرسانها برای حملات فیشینگ استفاده میکنند.
پس از ورود به شبکه، همه به جز یک گروه اطلاعاتی را در مورد محیط، از جمله سیستم عامل و سخت افزار جمع آوری کردند، در حالی که اکثر گروه ها (81٪) حساب های کاربری را در سیستم برشمردند و داده های پیکربندی شبکه (69٪) را جمع آوری کردند. گزارش.
در حالی که "زندگی خارج از زمین" به یک نگرانی اصلی در میان متخصصان امنیت سایبری تبدیل شده است، تقریباً همه مهاجمان (94٪) ابزارهای حمله اضافی را از شبکه های خارجی دانلود کردند. در این گزارش آمده است که 16 گروه از XNUMX گروه APT از پروتکل های لایه برنامه - مانند IRC یا DNS - برای تسهیل دانلود استفاده کردند.
تمرکز بر کنترل بلند مدت
Positive Technologies در این گزارش بیان کرد که گروههای APT معمولاً بر کنترل طولانیمدت زیرساختها متمرکز هستند و در یک «لحظه حیاتی ژئوپلیتیک» فعال میشوند. برای جلوگیری از موفقیت، شرکتها باید مراقب تاکتیکهای خاص خود باشند، اما باید روی تقویت فناوری اطلاعات و عملیاتی خود نیز تمرکز کنند.
Avezova از Positive Technologies میگوید فهرست و اولویتبندی داراییها، استفاده از نظارت بر رویداد و پاسخ به حوادث، و آموزش کارکنان برای آگاهی بیشتر از مسائل امنیت سایبری، همه گامهای حیاتی برای امنیت بلندمدت هستند.
او میگوید: «به طور خلاصه، پایبندی به اصول کلیدی امنیت سایبری مبتنی بر نتیجه مهم است و اولین قدمهایی که باید برداشته شود مقابله با متداولترین تکنیکهای حمله است.»
از میان 16 گروه، اکثریت سازمان ها در شش کشور مختلف خاورمیانه را هدف قرار دادند: 14 گروه عربستان سعودی را هدف قرار دادند. 12 امارات؛ 10 اسرائیل; نه جردن; و هشت مورد مصر و کویت را هدف قرار دادند.
این شرکت در این گزارش اعلام کرد در حالی که دولت، تولید و انرژی بیشترین بخشها را هدف قرار میدهند، رسانههای جمعی و مجتمعهای نظامی-صنعتی هدف قربانیان فزایندهای هستند.
در این گزارش آمده است: با افزایش هدف قرار دادن صنایع حیاتی، سازمان ها باید امنیت سایبری را به عنوان یک ابتکار حیاتی در نظر بگیرند.
"هدف اولیه [باید] حذف احتمال رویدادهای غیرقابل تحمل باشد - رویدادهایی که سازمان را از دستیابی به اهداف عملیاتی یا استراتژیک خود باز می دارد یا منجر به اختلال قابل توجه در تجارت اصلی آن در نتیجه یک حمله سایبری می شود." شرکت در این گزارش عنوان کرد. این رویدادها توسط مدیریت ارشد سازمان تعریف می شود و پایه و اساس یک استراتژی امنیت سایبری را می گذارد.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/vulnerabilities-threats/saudi-arabia-uae-top-list-of-apt-targeted-nations-in-middle-east