Seksten grupper med avansert vedvarende trussel (APT) har målrettet organisasjoner i Midtøsten de siste to årene med nettangrep fokusert på offentlige etater, produksjonsbedrifter og energiindustrien.

APT-aktørene har stort sett målrettet organisasjoner i Saudi-Arabia, De forente arabiske emirater og Israel og inkluderer kjente grupper som Oilrig og Molerats, samt mindre kjente enheter som Bahamut og Hexane, ifølge en analyse publisert i mars 27 av cybersikkerhetstjenestefirmaet Positive Technologies.

Gruppene tar sikte på å skaffe informasjon som gir deres statssponsorer en politisk, økonomisk og militær fordel, sa forskerne. De dokumenterte 141 vellykkede angrep som kunne tilskrives gruppene.

"Bedrifter bør ta hensyn til hvilke taktikker og teknikker som APT-grupper som angriper regionen bruker," sier Yana Avezova, senior informasjonssikkerhetsanalytiker hos Positive Technologies. "Bedrifter i Midtøsten-regionen kan forstå hvordan disse gruppene vanligvis opererer og forberede seg på visse trinn deretter."

Nettsikkerhetsfirmaet brukte analysen sin for å bestemme de mest populære typene angrep som ble brukt av APT-aktørene, inkludert phishing for førstegangstilgang, kryptering og kamuflering av deres ondsinnede kode og kommunikasjon ved hjelp av vanlige applikasjonslagsprotokoller, som Internet Relay Chat (IRC) eller DNS-forespørsler.

Av de 16 APT-aktørene var seks grupper – inkludert APT 35 og Moses Staff – knyttet til Iran, tre grupper – som Molerats – var knyttet til Hamas, og to grupper var knyttet til Kina. Analysen dekket bare nettangrep fra grupper som ble ansett som både sofistikerte og vedvarende, med Positive Technologies som løftet noen grupper (som Moses Staff) til APT-status, i stedet for som en haktivistgruppe.

"I løpet av undersøkelsen kom vi til den konklusjon at noen av gruppene som er kategorisert som hacktivister av visse leverandører, faktisk ikke er hacktivister av natur," uttalte rapporten, og la til at "etter en mer dyptgående analyse, kom vi til konklusjonen at Moses Staff-angrep er mer sofistikerte enn hacktivistiske, og gruppen utgjør en større trussel enn hacktivistgrupper vanligvis gjør."

Topp første vektorer: Phishing-angrep, ekstern utnyttelse

Analysen kartlegger de ulike teknikkene som brukes av hver gruppe til MITER AT&CK Framework for å bestemme de vanligste taktikkene som brukes blant APT-gruppene som opererer i Midtøsten.

De vanligste taktikkene for å få innledende tilgang inkluderer phishing-angrep – brukt av 11 APT-grupper – og utnyttelse av sårbarheter i offentlige applikasjoner, som ble brukt av fem grupper. Tre av gruppene bruker også skadelig programvare som er distribuert til nettsteder som en del av et vannhullsangrep rettet mot besøkende i det som også er kjent som et drive-by-nedlastingsangrep.

"De fleste APT-grupper starter angrep på bedriftssystemer med målrettet phishing," heter det i rapporten. "Oftest involverer dette e-postkampanjer med skadelig innhold. I tillegg til e-post, bruker noen angripere – som APT35, Bahamut, Dark Caracal, OilRig – sosiale nettverk og budbringere for phishing-angrep.»

Vel inne i nettverket samlet alle unntatt én gruppe informasjon om miljøet, inkludert operativsystemet og maskinvaren, mens de fleste gruppene (81 %) også talte opp brukerkontoene på systemet og samlet inn nettverkskonfigurasjonsdata (69 %), ifølge rapportere.

Mens «å leve av landet» har blitt en stor bekymring blant fagfolk innen nettsikkerhet, lastet nesten alle angriperne (94 %) ned ytterligere angrepsverktøy fra eksterne nettverk. Fjorten av de 16 APT-gruppene brukte applikasjonslagsprotokoller - som IRC eller DNS - for å lette nedlastingen, heter det i rapporten.

Fokusert på langsiktig kontroll

APT-gruppene er typisk fokusert på langsiktig kontroll av infrastruktur, og blir aktive i et "geopolitisk avgjørende øyeblikk," uttalte Positive Technologies i rapporten. For å forhindre deres suksess, bør selskaper se etter deres spesifikke taktikk, men også fokusere på å herde sin informasjons- og operasjonsteknologi.

Inventar og prioritering av eiendeler, bruk av hendelsesovervåking og hendelsesrespons, og opplæring av ansatte til å være mer bevisste på cybersikkerhetsproblemer er alle kritiske skritt for langsiktig sikkerhet, sier Avezova til Positive Technologies.

"Kort sagt er det viktig å følge nøkkelprinsippene for resultatdrevet cybersikkerhet," sier hun, og legger til at "de første skritt å ta er å motvirke de mest brukte angrepsteknikkene."

Av de 16 gruppene var flertallet målrettet mot organisasjoner i seks forskjellige Midtøsten-nasjoner: 14 målrettet mot Saudi-Arabia; 12 UAE; 10 Israel; ni Jordan; og åtte målrettet hver mot Egypt og Kuwait.

Mens regjering, produksjon og energi var de mest målrettede sektorene, er massemedier og det militærindustrielle komplekset stadig mer vanlige offermål, uttalte selskapet i rapporten.

Med den økende målrettingen av kritiske bransjer, bør organisasjoner behandle cybersikkerhet som et kritisk initiativ, heter det i rapporten.

"[D]et primære mål [bør være] å eliminere muligheten for ikke-tolerable hendelser - hendelser som hindrer en organisasjon i å nå sine operasjonelle eller strategiske mål eller fører til betydelig forstyrrelse av kjernevirksomheten som følge av et nettangrep," selskapet oppgitt i rapporten. "Disse hendelsene er definert av organisasjonens toppledelse og legger grunnlaget for en cybersikkerhetsstrategi."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/vulnerabilities-threats/saudi-arabia-uae-top-list-of-apt-targeted-nations-in-middle-east