شانزده گروه تهدید مداوم پیشرفته (APT) سازمان‌های خاورمیانه را در دو سال گذشته با حملات سایبری متمرکز بر سازمان‌های دولتی، شرکت‌های تولیدی و صنعت انرژی هدف قرار دادند.

بر اساس تحلیلی که در ماه مارس منتشر شد، بازیگران APT بیشتر سازمان‌هایی را در عربستان سعودی، امارات متحده عربی و اسرائیل هدف قرار داده‌اند و شامل گروه‌های معروفی مانند Oilrig و Molerats و همچنین نهادهای کمتر شناخته شده مانند Bahamut و Hexane هستند. 27 توسط شرکت خدمات امنیت سایبری Positive Technologies.

محققان گفتند که هدف این گروه ها به دست آوردن اطلاعاتی است که حامیان دولتی آنها را در یک مزیت سیاسی، اقتصادی و نظامی قرار می دهد. آنها 141 حمله موفقیت آمیز را که می تواند به گروه ها نسبت داده شود، ثبت کردند.

یانا آوزووا، تحلیلگر ارشد امنیت اطلاعات در Positive Technologies می‌گوید: «شرکت‌ها باید به تاکتیک‌ها و تکنیک‌هایی توجه کنند که گروه‌های APT که به منطقه حمله می‌کنند، چه استفاده می‌کنند. شرکت‌های منطقه خاورمیانه می‌توانند نحوه عملکرد این گروه‌ها را درک کنند و بر این اساس برای مراحل خاصی آماده شوند.»

این شرکت امنیت سایبری از تجزیه و تحلیل خود برای تعیین محبوب ترین انواع حملات مورد استفاده توسط بازیگران APT استفاده کرد، از جمله فیشینگ برای دسترسی اولیه، رمزگذاری و استتار کد مخرب آنها، و برقراری ارتباط با استفاده از پروتکل های لایه برنامه رایج، مانند گفتگوی رله اینترنت (IRC). یا درخواست های DNS.

از 16 بازیگر APT، شش گروه - از جمله APT 35 و کارکنان موسی - با ایران، سه گروه - مانند Molerats - با حماس و دو گروه با چین مرتبط بودند. این تجزیه و تحلیل تنها حملات سایبری توسط گروه‌هایی را پوشش می‌دهد که هم پیچیده و هم مداوم در نظر گرفته می‌شوند، با فناوری‌های مثبت برخی از گروه‌ها (مانند کارکنان موسی) را به جای یک گروه فعال، به وضعیت APT ارتقا می‌دهند.

"در طول تحقیق، ما به این نتیجه رسیدیم که برخی از گروه‌هایی که توسط فروشندگان خاص به عنوان هکتیویست طبقه‌بندی شده‌اند، در واقع ماهیت هکتیویست ندارند." گزارش بیان کردوی افزود: «پس از تجزیه و تحلیل عمیق‌تر، به این نتیجه رسیدیم که حملات کارکنان موسی پیچیده‌تر از حملات هکتیویستی هستند و این گروه تهدیدی بزرگ‌تر از گروه‌های هکتیویست است.»

بردارهای اولیه برتر: حملات فیشینگ، بهره برداری از راه دور

تجزیه و تحلیل تکنیک های مختلف مورد استفاده توسط هر گروه را به چارچوب MITER AT&CK ترسیم می کند تا متداول ترین تاکتیک های مورد استفاده در میان گروه های APT فعال در خاورمیانه را تعیین کند.

رایج‌ترین تاکتیک‌ها برای دستیابی به دسترسی اولیه شامل حملات فیشینگ - که توسط 11 گروه APT استفاده می‌شود - و سوء استفاده از آسیب‌پذیری‌ها در برنامه‌های کاربردی عمومی است که توسط پنج گروه استفاده می‌شود. سه تا از این گروه‌ها همچنین از بدافزاری استفاده می‌کنند که در وب‌سایت‌ها به عنوان بخشی از حمله‌ای که بازدیدکنندگان را هدف قرار می‌دهد، در حمله‌ای که به دانلود درایو نیز معروف است، استفاده می‌کنند.

در این گزارش آمده است: «بیشتر گروه‌های APT حملاتی را به سیستم‌های شرکتی با فیشینگ هدفمند آغاز می‌کنند». «بیشتر اوقات، این شامل کمپین های ایمیل با محتوای مخرب است. علاوه بر ایمیل، برخی از مهاجمان - مانند APT35، Bahamut، Dark Caracal، OilRig - از شبکه‌های اجتماعی و پیام‌رسان‌ها برای حملات فیشینگ استفاده می‌کنند.

پس از ورود به شبکه، همه به جز یک گروه اطلاعاتی را در مورد محیط، از جمله سیستم عامل و سخت افزار جمع آوری کردند، در حالی که اکثر گروه ها (81٪) حساب های کاربری را در سیستم برشمردند و داده های پیکربندی شبکه (69٪) را جمع آوری کردند. گزارش.

در حالی که "زندگی خارج از زمین" به یک نگرانی اصلی در میان متخصصان امنیت سایبری تبدیل شده است، تقریباً همه مهاجمان (94٪) ابزارهای حمله اضافی را از شبکه های خارجی دانلود کردند. در این گزارش آمده است که 16 گروه از XNUMX گروه APT از پروتکل های لایه برنامه - مانند IRC یا DNS - برای تسهیل دانلود استفاده کردند.

تمرکز بر کنترل بلند مدت

Positive Technologies در این گزارش بیان کرد که گروه‌های APT معمولاً بر کنترل طولانی‌مدت زیرساخت‌ها متمرکز هستند و در یک «لحظه حیاتی ژئوپلیتیک» فعال می‌شوند. برای جلوگیری از موفقیت، شرکت‌ها باید مراقب تاکتیک‌های خاص خود باشند، اما باید روی تقویت فناوری اطلاعات و عملیاتی خود نیز تمرکز کنند.

Avezova از Positive Technologies می‌گوید فهرست و اولویت‌بندی دارایی‌ها، استفاده از نظارت بر رویداد و پاسخ به حوادث، و آموزش کارکنان برای آگاهی بیشتر از مسائل امنیت سایبری، همه گام‌های حیاتی برای امنیت بلندمدت هستند.

او می‌گوید: «به طور خلاصه، پایبندی به اصول کلیدی امنیت سایبری مبتنی بر نتیجه مهم است و اولین قدم‌هایی که باید برداشته شود مقابله با متداول‌ترین تکنیک‌های حمله است.»

از میان 16 گروه، اکثریت سازمان ها در شش کشور مختلف خاورمیانه را هدف قرار دادند: 14 گروه عربستان سعودی را هدف قرار دادند. 12 امارات؛ 10 اسرائیل; نه جردن; و هشت مورد مصر و کویت را هدف قرار دادند.

این شرکت در این گزارش اعلام کرد در حالی که دولت، تولید و انرژی بیشترین بخش‌ها را هدف قرار می‌دهند، رسانه‌های جمعی و مجتمع‌های نظامی-صنعتی هدف قربانیان فزاینده‌ای هستند.

در این گزارش آمده است: با افزایش هدف قرار دادن صنایع حیاتی، سازمان ها باید امنیت سایبری را به عنوان یک ابتکار حیاتی در نظر بگیرند.

"هدف اولیه [باید] حذف احتمال رویدادهای غیرقابل تحمل باشد - رویدادهایی که سازمان را از دستیابی به اهداف عملیاتی یا استراتژیک خود باز می دارد یا منجر به اختلال قابل توجه در تجارت اصلی آن در نتیجه یک حمله سایبری می شود." شرکت در این گزارش عنوان کرد. این رویدادها توسط مدیریت ارشد سازمان تعریف می شود و پایه و اساس یک استراتژی امنیت سایبری را می گذارد.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/vulnerabilities-threats/saudi-arabia-uae-top-list-of-apt-targeted-nations-in-middle-east