Sextán hópar með háþróaðri viðvarandi ógn (APT) beittu stofnunum í Miðausturlöndum á undanförnum tveimur árum með netárásum sem beinast að ríkisstofnunum, framleiðslufyrirtækjum og orkuiðnaðinum.
APT leikararnir hafa að mestu skotið á samtök í Sádi-Arabíu, Sameinuðu arabísku furstadæmunum og Ísrael og eru meðal annars þekktir hópar eins og Oilrig og Molerats, auk minna þekktra aðila eins og Bahamut og Hexane, samkvæmt greiningu sem birt var í mars 27 af netöryggisþjónustufyrirtækinu Positive Technologies.
Hóparnir miða að því að afla upplýsinga sem setur ríkisstyrktaraðila sína í pólitískt, efnahagslegt og hernaðarlegt forskot, sögðu vísindamennirnir. Þeir skjalfestu 141 árangursríka árás sem hægt var að rekja til hópanna.
„Fyrirtæki ættu að fylgjast með hvaða aðferðum og aðferðum APT hópar sem ráðast á svæðið nota,“ segir Yana Avezova, háttsettur sérfræðingur í upplýsingaöryggi hjá Positive Technologies. „Fyrirtæki í Miðausturlöndum geta skilið hvernig þessir hópar starfa venjulega og búa sig undir ákveðin skref í samræmi við það.
Netöryggisfyrirtækið notaði greiningu sína til að ákvarða vinsælustu tegundir árása sem APT leikararnir nota, þar á meðal vefveiðar fyrir upphafsaðgang, dulkóðun og felulitur á skaðlegum kóða þeirra og samskipti með algengum samskiptareglum forritalags, svo sem Internet Relay Chat (IRC) eða DNS beiðnir.
Af 16 APT-leikurum voru sex hópar - þar á meðal APT 35 og Moses Staff - tengdir Íran, þrír hópar - eins og Molerats - voru tengdir Hamas og tveir hópar tengdir Kína. Greiningin náði aðeins til netárása hópa sem taldir voru bæði háþróaðir og viðvarandi, þar sem jákvæð tækni hækkaði suma hópa (eins og Moses Staff) í APT stöðu, frekar en sem aðgerðahóp.
„Meðan á rannsókninni stóð komumst við að þeirri niðurstöðu að sumir hópanna sem flokkaðir eru sem hacktivistar af ákveðnum söluaðilum eru ekki í raun hacktivists í eðli sínu,“ sagði í skýrslunni, og bætti við að „eftir ítarlegri greiningu komumst við að þeirri niðurstöðu að Moses Staff árásir eru flóknari en hacktivistar og hópurinn stafar af meiri ógn en hacktivist hópar gera venjulega.
Helstu frumvektorar: Vefveiðarárásir, fjarnýting
Greiningin kortleggur hinar ýmsu aðferðir sem hver hópur notar til MITER AT&CK ramma til að ákvarða algengustu aðferðir sem notaðar eru meðal APT hópa sem starfa í Miðausturlöndum.
Algengustu aðferðirnar til að fá upphafsaðgang eru meðal annars vefveiðarárásir - notaðar af 11 APT hópum - og að nýta veikleika í forritum sem snúa að almenningi, sem voru notuð af fimm hópum. Þrír hópanna nota einnig spilliforrit sem komið er fyrir á vefsíðum sem hluta af vatnsholuárás sem miðar að gestum í því sem er einnig þekkt sem keyrsluárás.
„Flestir APT hópar hefja árásir á fyrirtækjakerfi með markvissum vefveiðum,“ sagði í skýrslunni. „Oftast er um að ræða tölvupóstsherferðir með skaðlegu efni. Fyrir utan tölvupóst, nota sumir árásarmenn - eins og APT35, Bahamut, Dark Caracal, OilRig - samfélagsnet og boðbera fyrir vefveiðar.
Þegar komið var inn á netið söfnuðu allir hópar nema einn upplýsingar um umhverfið, þar á meðal stýrikerfi og vélbúnað, en flestir hópar (81%) töldu einnig upp notendareikninga á kerfinu og söfnuðu netstillingargögnum (69%), skv. skýrslu.
Þó að „lifa af landinu“ hafi orðið mikið áhyggjuefni meðal netöryggissérfræðinga, þá sæktu næstum allir árásarmennirnir (94%) viðbótarárásarverkfæri af utanaðkomandi netum. Fjórtán af 16 APT hópum notuðu samskiptareglur forritalags - eins og IRC eða DNS - til að auðvelda niðurhalið, sagði í skýrslunni.
Með áherslu á langtímastjórnun
APT hóparnir eru venjulega einbeittir að langtímastjórnun á innviðum og verða virkir á „landfræðilega mikilvægu augnabliki,“ sagði Positive Technologies í skýrslunni. Til að koma í veg fyrir velgengni þeirra ættu fyrirtæki að gæta að sértækum aðferðum sínum, en einnig einbeita sér að því að herða upplýsinga- og rekstrartækni sína.
Skráning og forgangsröðun eigna, notkun atburðaeftirlits og viðbrögð við atvikum og þjálfun starfsmanna til að vera meðvitaðri um netöryggismál eru öll mikilvæg skref fyrir langtímaöryggi, segir Avezova hjá Positive Technologies.
„Í stuttu máli er mikilvægt að fylgja lykilreglunum um árangursdrifið netöryggi,“ segir hún og bætir við að „fyrstu skrefin sem þarf að taka eru að vinna gegn algengustu árásaraðferðum.
Af hópunum 16 beitti meirihlutinn samtök í sex mismunandi ríkjum í Miðausturlöndum: 14 réðust á Sádi-Arabíu; 12 UAE; 10 Ísrael; níu Jórdaníu; og átta réðust hvor um sig á Egyptaland og Kúveit.
Þó að stjórnvöld, framleiðsla og orka væru algengustu geirarnir, eru fjölmiðlar og hernaðariðnaðarfléttan sífellt algengari skotmörk fyrir fórnarlömb, sagði fyrirtækið í skýrslunni.
Með aukinni miðun á mikilvægar atvinnugreinar ættu stofnanir að líta á netöryggi sem mikilvægt frumkvæði, segir í skýrslunni.
„Aðalmarkmið [ætti] að vera að útrýma möguleikanum á óþolandi atburðum - atburði sem koma í veg fyrir að stofnun nái rekstrarlegum eða stefnumarkandi markmiðum sínum eða leiða til verulegrar truflunar á kjarnastarfsemi þess vegna netárásar,“ segir fyrirtæki sem kemur fram í skýrslunni. „Þessir atburðir eru skilgreindir af yfirstjórn stofnunarinnar og leggja grunninn að netöryggisstefnu.
- SEO knúið efni og PR dreifing. Fáðu magnara í dag.
- PlatoData.Network Vertical Generative Ai. Styrktu sjálfan þig. Aðgangur hér.
- PlatoAiStream. Web3 upplýsingaöflun. Þekking aukin. Aðgangur hér.
- PlatóESG. Kolefni, CleanTech, Orka, Umhverfi, Sól, Úrgangsstjórnun. Aðgangur hér.
- PlatoHealth. Líftækni og klínísk rannsóknagreind. Aðgangur hér.
- Heimild: https://www.darkreading.com/vulnerabilities-threats/saudi-arabia-uae-top-list-of-apt-targeted-nations-in-middle-east
