Kuusitoista kehittynyttä jatkuvaa uhkaa (APT) -ryhmää on kohdannut Lähi-idän organisaatioita kahden viime vuoden aikana kyberhyökkäyksiä vastaan, jotka kohdistuivat valtion virastoihin, tuotantoyrityksiin ja energiateollisuuteen.
Maaliskuussa julkaistun analyysin mukaan APT:n toimijat ovat kohdistaneet kohteensa enimmäkseen Saudi-Arabiassa, Yhdistyneissä arabiemiirikunnissa ja Israelissa sijaitseviin organisaatioihin. 27 kyberturvallisuuspalveluyritys Positive Technologies.
Ryhmät pyrkivät saamaan tietoa, joka asettaa niiden valtion sponsoreille poliittisen, taloudellisen ja sotilaallisen edun, tutkijat sanoivat. He dokumentoivat 141 onnistunutta hyökkäystä, jotka voidaan katsoa ryhmien syyksi.
"Yritysten tulisi kiinnittää huomiota siihen, mitä taktiikoita ja tekniikoita alueelle hyökkäävät APT-ryhmät käyttävät", sanoo Yana Avezova, Positive Technologiesin vanhempi tietoturva-analyytikko. "Lähi-idän alueen yritykset voivat ymmärtää näiden ryhmien tyypillistä toimintaa ja valmistautua tiettyihin vaiheisiin sen mukaisesti."
Kyberturvallisuusyritys määritteli analyysinsä avulla suosituimmat APT-toimijoiden käyttämät hyökkäystyypit, mukaan lukien tietojenkalastelu, haitallisen koodin salaus ja naamiointi sekä kommunikointi yleisten sovellustason protokollien, kuten Internet Relay Chatin (IRC) avulla. tai DNS-pyynnöt.
APT:n 16 toimijasta kuusi ryhmää – mukaan lukien APT 35 ja Moses Staff – liittyi Iraniin, kolme ryhmää – kuten Moleraatit – oli sidoksissa Hamasiin ja kaksi ryhmää Kiinaan. Analyysi kattoi vain kyberhyökkäykset ryhmiltä, joita pidettiin sekä kehittyneinä että pysyvinä, ja Positive Technologies nosti jotkin ryhmät (kuten Moses Staff) APT-statukseen sen sijaan, että ne olisivat olleet aktiivisia.
"Tutkimuksen aikana tulimme siihen tulokseen, että jotkin tiettyjen myyjien hacktivisteiksi luokittelemat ryhmät eivät ole luonteeltaan hacktivisteja." raportissa todettiin, lisäten, että "syvemmän analyysin jälkeen päädyimme siihen johtopäätökseen, että Moses Staff -hyökkäykset ovat kehittyneempiä kuin hacktivistiset hyökkäykset ja että ryhmä muodostaa suuremman uhan kuin hacktivistiryhmät tyypillisesti tekevät."
Suosituimmat alkuperäiset vektorit: tietojenkalasteluhyökkäykset, etäkäyttö
Analyysi kartoittaa kunkin ryhmän käyttämät erilaiset tekniikat MITER AT&CK Frameworkiin määrittääkseen Lähi-idässä toimivien APT-ryhmien yleisimmät taktiikat.
Yleisimpiä tapoja päästä alkuun ovat tietojenkalasteluhyökkäykset – joita käytti 11 APT-ryhmää – ja julkisten sovellusten haavoittuvuuksien hyödyntäminen, jota käytti viisi ryhmää. Kolme ryhmistä käyttää myös haittaohjelmia verkkosivustoille osana vierailijoille kohdistettua hyökkäystä niin sanotussa drive-by download -hyökkäyksessä.
"Useimmat APT-ryhmät aloittavat hyökkäyksiä yritysjärjestelmiin kohdistetulla tietojenkalastelulla", raportissa todettiin. "Useimmiten tämä koskee sähköpostikampanjoita, joissa on haitallista sisältöä. Sähköpostin lisäksi jotkut hyökkääjät - kuten APT35, Bahamut, Dark Caracal, OilRig - käyttävät sosiaalisia verkostoja ja lähettiläitä tietojenkalasteluhyökkäyksiin."
Verkon sisällä kaikki ryhmät yhtä lukuun ottamatta keräsivät tietoa ympäristöstä, mukaan lukien käyttöjärjestelmä ja laitteisto, kun taas useimmat ryhmät (81 %) listasivat myös järjestelmän käyttäjätilit ja keräsivät verkon määritystietoja (69 %). raportti.
Vaikka "elämisestä maasta" on tullut suuri huolenaihe kyberturvallisuuden ammattilaisten keskuudessa, lähes kaikki hyökkääjät (94 %) latasivat lisää hyökkäystyökaluja ulkoisista verkoista. Neljätoista 16 APT-ryhmästä käytti sovellustason protokollia - kuten IRC tai DNS - latauksen helpottamiseksi, raportissa todettiin.
Keskittyy pitkäkestoiseen valvontaan
APT-ryhmät keskittyvät tyypillisesti infrastruktuurin pitkän aikavälin hallintaan ja aktivoituvat "geopoliittisesti ratkaisevana hetkenä", Positive Technologies totesi raportissa. Menestyksensä estämiseksi yritysten tulee tarkkailla omia taktiikoitaan, mutta myös keskittyä tieto- ja toimintateknologiansa karkaisemiseen.
Omaisuuden inventointi ja priorisointi, tapahtumien seuranta ja reagointitapahtumiin sekä työntekijöiden kouluttaminen tietoisuuteen kyberturvallisuuskysymyksistä ovat kaikki kriittisiä askeleita pitkän aikavälin turvallisuuden kannalta, Positive Technologiesin Avezova sanoo.
"Lyhyesti sanottuna on tärkeää noudattaa tuloslähtöisen kyberturvallisuuden keskeisiä periaatteita", hän sanoo ja lisää, että "ensimmäiset askeleet on vastustaa yleisimmin käytettyjä hyökkäystekniikoita."
16 ryhmästä suurin osa kohdistui organisaatioihin kuudessa eri Lähi-idän maassa: 14 kohteena oli Saudi-Arabia; 12 Yhdistyneet arabiemiirikunnat; 10 Israel; yhdeksän Jordania; ja kahdeksan kohteena oli Egypti ja Kuwait.
Vaikka julkishallinto, valmistus ja energia olivat yleisimmin kohteena olevat alat, joukkotiedotusvälineet ja sotilas-teollinen kompleksi ovat yhä yleisempiä uhrikohteita, yhtiö totesi raportissa.
Kun kriittisten toimialojen kohdistus lisääntyy, organisaatioiden tulisi käsitellä kyberturvallisuutta kriittisenä aloitteena, raportissa todetaan.
"[P]ensisijaisena tavoitteena [olisi] olla ei-siedettävien tapahtumien mahdollisuuden eliminointi – tapahtumat, jotka estävät organisaatiota saavuttamasta toiminnallisia tai strategisia tavoitteitaan tai johtavat sen ydinliiketoiminnan merkittävään häiriintymiseen kyberhyökkäyksen seurauksena”, yhtiö ilmoitti raportissaan. "Nämä tapahtumat ovat organisaation ylimmän johdon määrittelemiä ja ne luovat pohjan kyberturvallisuusstrategialle."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/vulnerabilities-threats/saudi-arabia-uae-top-list-of-apt-targeted-nations-in-middle-east
