Șaisprezece grupuri de amenințări persistente avansate (APT) au vizat organizații din Orientul Mijlociu în ultimii doi ani, cu atacuri cibernetice concentrate asupra agențiilor guvernamentale, companiilor de producție și industria energetică.
Actorii APT au vizat mai ales organizații din Arabia Saudită, Emiratele Arabe Unite și Israel și includ grupuri binecunoscute precum Oilrig și Molerats, precum și entități mai puțin cunoscute precum Bahamut și Hexane, potrivit unei analize publicate în martie. 27 de către firma de servicii de securitate cibernetică Positive Technologies.
Grupurile își propun să obțină informații care îi pun pe sponsorii lor de stat la un avantaj politic, economic și militar, au spus cercetătorii. Ei au documentat 141 de atacuri de succes care ar putea fi atribuite grupurilor.
„Companiile ar trebui să acorde atenție tacticilor și tehnicilor pe care le folosesc grupurile APT care atacă regiunea”, spune Yana Avezova, analist senior în securitatea informațiilor la Positive Technologies. „Companiile din regiunea Orientului Mijlociu pot înțelege cum funcționează de obicei aceste grupuri și se pot pregăti pentru anumiți pași în consecință.”
Firma de securitate cibernetică și-a folosit analiza pentru a determina cele mai populare tipuri de atacuri utilizate de actorii APT, inclusiv phishing pentru accesul inițial, criptarea și camuflarea codului lor rău intenționat și comunicarea utilizând protocoale comune la nivel de aplicație, cum ar fi Internet Relay Chat (IRC). sau solicitări DNS.
Dintre cei 16 actori APT, șase grupuri – inclusiv APT 35 și Stafful lui Moses – erau legate de Iran, trei grupuri – precum Molerats – erau legate de Hamas, iar două grupuri erau legate de China. Analiza a acoperit doar atacurile cibernetice din partea unor grupuri considerate atât sofisticate, cât și persistente, Tehnologiile pozitive ridicând unele grupuri (cum ar fi personalul lui Moses) la statutul APT, mai degrabă decât ca grup hactivist.
„În timpul cercetării, am ajuns la concluzia că unele dintre grupurile clasificate drept hacktiviști de anumiți vânzători nu sunt de fapt de natură hacktiviști”, se spunea raportul, adăugând că „după o analiză mai aprofundată, am ajuns la concluzia că atacurile lui Moses Staff sunt mai sofisticate decât cele hacktiviste, iar grupul reprezintă o amenințare mai mare decât o fac de obicei grupurile hacktive”.
Vectori inițiali de top: atacuri de phishing, exploatare de la distanță
Analiza mapează diferitele tehnici utilizate de fiecare grup la Cadrul MITRE AT&CK pentru a determina cele mai comune tactici utilizate în rândul grupurilor APT care operează în Orientul Mijlociu.
Cele mai comune tactici pentru a obține accesul inițial includ atacurile de tip phishing - utilizate de 11 grupuri APT - și exploatarea vulnerabilităților în aplicațiile publice, care a fost folosită de cinci grupuri. Trei dintre grupuri folosesc, de asemenea, programe malware instalate pe site-uri web, ca parte a unui atac care vizează vizitatorii, în ceea ce este cunoscut și sub numele de atac de descărcare drive-by.
„Majoritatea grupurilor APT inițiază atacuri asupra sistemelor corporative cu phishing țintit”, se arată în raport. „De cele mai multe ori, aceasta implică campanii de e-mail cu conținut rău intenționat. Pe lângă e-mail, unii atacatori – precum APT35, Bahamut, Dark Caracal, OilRig – folosesc rețelele sociale și mesagerii pentru atacuri de tip phishing.”
Odată intrat în rețea, toate grupurile, cu excepția unuia, au adunat informații despre mediu, inclusiv despre sistemul de operare și hardware, în timp ce majoritatea grupurilor (81%) au enumerat și conturile de utilizator din sistem și au colectat date de configurare a rețelei (69%), conform raport.
În timp ce „trăitul din pământ” a devenit o preocupare majoră în rândul profesioniștilor în securitate cibernetică, aproape toți atacatorii (94%) au descărcat instrumente de atac suplimentare din rețelele externe. Paisprezece dintre cele 16 grupuri APT au folosit protocoale la nivel de aplicație - cum ar fi IRC sau DNS - pentru a facilita descărcarea, se arată în raport.
Concentrat pe controlul pe termen lung
Grupurile APT se concentrează în mod obișnuit pe controlul pe termen lung al infrastructurii, devenind active într-un „moment crucial din punct de vedere geopolitic”, a declarat Positive Technologies în raport. Pentru a preveni succesul lor, companiile ar trebui să aibă grijă de tacticile lor specifice, dar și să se concentreze pe consolidarea tehnologiei informaționale și operaționale.
Inventarierea și prioritizarea activelor, utilizarea monitorizării evenimentelor și a răspunsului la incident și instruirea angajaților pentru a fi mai conștienți de problemele de securitate cibernetică sunt pași critici pentru securitatea pe termen lung, spune Avezova de la Positive Technologies.
„Pe scurt, este important să aderăm la principiile cheie ale securității cibernetice bazate pe rezultate”, spune ea, adăugând că „primii pași pe care trebuie să îi faceți sunt să contracarați tehnicile de atac cele mai frecvent utilizate”.
Din cele 16 grupuri, majoritatea au vizat organizații din șase națiuni diferite din Orientul Mijlociu: 14 au vizat Arabia Saudită; 12 Emiratele Arabe Unite; 10 Israel; nouă Iordan; și câte opt au vizat Egiptul și Kuweit.
În timp ce guvernul, producția și energia au fost sectoarele cel mai frecvent vizate, mass-media și complexul militar-industrial sunt ținte din ce în ce mai frecvente ale victimelor, a declarat compania în raport.
Odată cu țintirea în creștere a industriilor critice, organizațiile ar trebui să trateze securitatea cibernetică ca pe o inițiativă critică, se arată în raport.
„[T]elul principal [ar trebui să fie] eliminarea posibilității de evenimente netolerabile – evenimente care împiedică o organizație să-și atingă obiectivele operaționale sau strategice sau conduc la o întrerupere semnificativă a activității sale de bază ca urmare a unui atac cibernetic”, companie a precizat în raport. „Aceste evenimente sunt definite de conducerea de vârf a organizației și pun bazele unei strategii de securitate cibernetică.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/vulnerabilities-threats/saudi-arabia-uae-top-list-of-apt-targeted-nations-in-middle-east
