W ciągu ostatnich dwóch lat szesnaście grup zaawansowanych trwałych zagrożeń (APT) atakowało organizacje na Bliskim Wschodzie, a cyberataki skupiały się na agencjach rządowych, firmach produkcyjnych i przemyśle energetycznym.
Jak wynika z analizy opublikowanej w marcu, aktorzy APT obrali za cel głównie organizacje w Arabii Saudyjskiej, Zjednoczonych Emiratach Arabskich i Izraelu i obejmują dobrze znane grupy, takie jak Oilrig i Molerats, a także mniej znane podmioty, takie jak Bahamut i Hexane. 27 przez firmę Positive Technologies świadczącą usługi w zakresie cyberbezpieczeństwa.
Celem grup jest uzyskanie informacji, które zapewnią ich sponsorom państwowym przewagę polityczną, gospodarczą i militarną – twierdzą naukowcy. Udokumentowali 141 udanych ataków, które można przypisać tym grupom.
„Firmy powinny zwracać uwagę na to, jaką taktykę i techniki stosują grupy APT atakujące region” – mówi Yana Avezova, starszy analityk bezpieczeństwa informacji w Positive Technologies. „Firmy z regionu Bliskiego Wschodu mogą zrozumieć, jak zazwyczaj działają te grupy i odpowiednio przygotować się do określonych kroków”.
Firma zajmująca się cyberbezpieczeństwem wykorzystała swoją analizę do określenia najpopularniejszych rodzajów ataków stosowanych przez ugrupowania APT, w tym phishingu w celu uzyskania początkowego dostępu, szyfrowania i kamuflowania złośliwego kodu oraz komunikacji przy użyciu popularnych protokołów warstwy aplikacji, takich jak Internet Relay Chat (IRC). lub żądania DNS.
Spośród 16 podmiotów APT sześć grup – w tym APT 35 i Moses Staff – było powiązanych z Iranem, trzy grupy – takie jak Molerats – były powiązane z Hamasem, a dwie grupy były powiązane z Chinami. Analiza objęła jedynie cyberataki przeprowadzane przez grupy uważane za zarówno wyrafinowane, jak i trwałe, przy czym firma Positive Technologies podniosła niektóre grupy (takie jak Moses Staff) do statusu APT, a nie grupy haktywistycznej.
„W trakcie badania doszliśmy do wniosku, że niektóre grupy sklasyfikowane przez niektórych dostawców jako haktywiści w rzeczywistości nie mają charakteru haktywistów” raport stwierdził, dodając, że „po bardziej szczegółowej analizie doszliśmy do wniosku, że ataki Moses Staff są bardziej wyrafinowane niż ataki haktywistów, a grupa ta stwarza większe zagrożenie niż zwykle grupy haktywistów”.
Najpopularniejsze wektory początkowe: ataki phishingowe, zdalna eksploatacja
Analiza mapuje różne techniki stosowane przez każdą grupę w ramach MITER AT&CK Framework w celu określenia najpowszechniejszych taktyk stosowanych wśród grup APT działających na Bliskim Wschodzie.
Do najpowszechniejszych taktyk uzyskiwania pierwszego dostępu należą ataki phishingowe — stosowane przez 11 grup APT — oraz wykorzystywanie luk w aplikacjach dostępnych publicznie, co stosowało pięć grup. Trzy z tych grup wykorzystują także złośliwe oprogramowanie instalowane na stronach internetowych w ramach ataku wodopoju wymierzonego w odwiedzających w ramach tzw. ataku typu „drive-by download”.
„Większość grup APT inicjuje ataki na systemy korporacyjne za pomocą ukierunkowanego phishingu” – stwierdzono w raporcie. „Najczęściej dotyczy to kampanii e-mailowych zawierających szkodliwą treść. Oprócz poczty elektronicznej niektórzy napastnicy – na przykład APT35, Bahamut, Dark Caracal, OilRig – wykorzystują sieci społecznościowe i komunikatory do ataków phishingowych”.
Po wejściu do sieci wszystkie grupy z wyjątkiem jednej zebrały informacje o środowisku, w tym o systemie operacyjnym i sprzęcie, podczas gdy większość grup (81%) wyliczyła także konta użytkowników w systemie i zebrała dane o konfiguracji sieci (69%), zgodnie z badaniem raport.
Chociaż „życie z ziemi” stało się głównym problemem wśród specjalistów ds. cyberbezpieczeństwa, prawie wszyscy napastnicy (94%) pobrali dodatkowe narzędzia ataku z sieci zewnętrznych. Z raportu wynika, że czternaście z 16 grup APT korzystało z protokołów warstwy aplikacji, takich jak IRC lub DNS, aby ułatwić pobieranie.
Koncentruje się na długoterminowej kontroli
Grupy APT zazwyczaj koncentrują się na długoterminowej kontroli infrastruktury i stają się aktywne w „geopolitycznie kluczowym momencie” – stwierdziła w raporcie firma Positive Technologies. Aby zapobiec sukcesowi, firmy powinny zwrócić uwagę na swoją specyficzną taktykę, ale także skupić się na wzmocnieniu swojej technologii informacyjnej i operacyjnej.
Inwentaryzacja i ustalanie priorytetów zasobów, monitorowanie zdarzeń i reagowanie na incydenty, a także szkolenie pracowników w zakresie większej świadomości zagadnień związanych z cyberbezpieczeństwem to kluczowe kroki dla długoterminowego bezpieczeństwa, mówi Avezova z Positive Technologies.
„Krótko mówiąc, ważne jest przestrzeganie kluczowych zasad cyberbezpieczeństwa zorientowanego na wyniki” – mówi, dodając, że „pierwszymi krokami, jakie należy podjąć, jest przeciwstawienie się najczęściej stosowanym technikom ataków”.
Spośród 16 grup większość atakowała organizacje z sześciu różnych krajów Bliskiego Wschodu: 14 atakowało Arabię Saudyjską; 12 Zjednoczone Emiraty Arabskie; 10 Izrael; dziewięć Jordan; a po osiem celowało w Egipt i Kuwejt.
Choć rząd, produkcja i energetyka były najczęściej atakowanymi sektorami, środki masowego przekazu i kompleks wojskowo-przemysłowy są coraz częstszymi celami ofiar, jak stwierdziła firma w raporcie.
W raporcie stwierdzono, że wraz z coraz większym ukierunkowaniem działań na branże krytyczne organizacje powinny traktować cyberbezpieczeństwo jako inicjatywę o kluczowym znaczeniu.
„Głównym celem [powinno być] wyeliminowanie możliwości wystąpienia zdarzeń niedopuszczalnych – zdarzeń, które uniemożliwiają organizacji osiągnięcie jej celów operacyjnych lub strategicznych lub prowadzą do znaczących zakłóceń w jej podstawowej działalności w wyniku cyberataku”, spółka podała w raporcie. „Te zdarzenia są definiowane przez najwyższe kierownictwo organizacji i kładą podwaliny pod strategię cyberbezpieczeństwa”.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/vulnerabilities-threats/saudi-arabia-uae-top-list-of-apt-targeted-nations-in-middle-east