За останні два роки шістнадцять груп передових постійних загроз (APT) атакували організації на Близькому Сході, зосередивши кібератаки на державні установи, виробничі компанії та енергетичну галузь.

Згідно з аналізом, опублікованим у березні, учасники APT здебільшого націлювалися на організації в Саудівській Аравії, Об’єднаних Арабських Еміратах та Ізраїлі та включають добре відомі групи, такі як Oilrig і Molerats, а також менш відомі організації, такі як Bahamut і Hexane. 27 фірмою з кібербезпеки Positive Technologies.

За словами дослідників, групи прагнуть отримати інформацію, яка дає їхнім державним спонсорам політичну, економічну та військову перевагу. Вони задокументували 141 успішну атаку, яку можна віднести до груп.

«Компанії повинні звернути увагу на те, які тактики та методи використовують угруповання APT, що атакують регіон», — каже Яна Авезова, старший аналітик з інформаційної безпеки Positive Technologies. «Компанії в регіоні Близького Сходу можуть зрозуміти, як зазвичай працюють ці групи, і відповідно підготуватися до певних кроків».

Фірма з кібербезпеки використала свій аналіз, щоб визначити найпопулярніші типи атак, які використовують учасники APT, включаючи фішинг для початкового доступу, шифрування та маскування шкідливого коду, а також спілкування за допомогою звичайних протоколів прикладного рівня, таких як Internet Relay Chat (IRC). або запити DNS.

З 16 учасників APT шість груп, включаючи APT 35 і Moses Staff, були пов’язані з Іраном, три групи, такі як Molerats, були пов’язані з ХАМАС, а дві групи були пов’язані з Китаєм. Аналіз охоплював лише кібератаки груп, які вважаються як складними, так і стійкими, причому Positive Technologies підняла деякі групи (наприклад, Moses Staff) до статусу APT, а не як групу активістів.

«Під час дослідження ми дійшли висновку, що деякі групи, які певні постачальники класифікують як хактивісти, насправді не є хактивістами», йдеться у звіті, додавши, що «після більш глибокого аналізу ми дійшли висновку, що атаки на Moses Staff є більш витонченими, ніж хактивістські, і ця група становить більшу загрозу, ніж зазвичай хактивістські групи».

Найпопулярніші початкові вектори: фішингові атаки, віддалена експлуатація

Аналіз відображає різні методи, які застосовує кожна група, із системою MITER AT&CK, щоб визначити найпоширенішу тактику, яку використовують групи APT, що діють на Близькому Сході.

Найпоширеніші тактики отримання початкового доступу включають фішингові атаки — використовувалися 11 групами APT — і використання вразливостей у загальнодоступних програмах, яке використовували п’ять груп. Три групи також використовують зловмисне програмне забезпечення, розгорнуте на веб-сайтах, як частину атаки водопою, націленої на відвідувачів у так званій атаці завантаження через автомобіль.

«Більшість груп APT ініціюють атаки на корпоративні системи за допомогою цільового фішингу», — йдеться у звіті. «Найчастіше це стосується розсилок електронною поштою зі шкідливим вмістом. Крім електронної пошти, деякі зловмисники, такі як APT35, Bahamut, Dark Caracal, OilRig, використовують соціальні мережі та месенджери для фішингових атак».

Опинившись у мережі, усі групи, крім однієї, збирали інформацію про середовище, включаючи операційну систему та апаратне забезпечення, тоді як більшість груп (81%) також перераховували облікові записи користувачів у системі та збирали дані про конфігурацію мережі (69%), відповідно до звіт.

Незважаючи на те, що професіонали з кібербезпеки хвилюються «жити за рахунок землі», майже всі зловмисники (94%) завантажили додаткові інструменти атак із зовнішніх мереж. Чотирнадцять із 16 груп APT використовували протоколи прикладного рівня, такі як IRC або DNS, щоб полегшити завантаження, йдеться у звіті.

Орієнтований на довгостроковий контроль

Групи APT, як правило, зосереджені на довгостроковому контролі над інфраструктурою, стаючи активними під час «геополітично вирішального моменту», як зазначено у звіті Positive Technologies. Щоб запобігти успіху, компаніям слід шукати власну конкретну тактику, а також зосередитися на зміцненні своїх інформаційних та операційних технологій.

Інвентаризація та пріоритезація активів, використання моніторингу подій і реагування на інциденти, а також навчання співробітників більшій обізнаності з проблемами кібербезпеки – все це критично важливі кроки для довгострокової безпеки, каже Авезова з Positive Technologies.

«Коротше кажучи, важливо дотримуватися ключових принципів кібербезпеки, орієнтованої на результат», — каже вона, додаючи, що «першими кроками є протидія найпоширенішим методам атак».

З 16 угруповань більшість були націлені на організації в шести різних країнах Близького Сходу: 14 націлені на Саудівську Аравію; 12 ОАЕ; 10 Ізраїль; дев'ять Йорданів; і по вісім були націлені на Єгипет і Кувейт.

Хоча уряд, виробництво та енергетика були найбільш поширеними цілями секторів, засоби масової інформації та військово-промисловий комплекс стають все більш поширеними цілями жертв, йдеться у звіті компанії.

У зв’язку зі збільшенням націленості на критичні галузі, організаціям слід ставитися до кібербезпеки як до важливої ​​ініціативи, йдеться у звіті.

«Основною метою [має бути] усунення можливості недопустимих подій — подій, які заважають організації досягти її операційних чи стратегічних цілей або призводять до суттєвих порушень її основної діяльності в результаті кібератаки», — – йдеться у звіті компанії. «Ці події визначаються вищим керівництвом організації та закладають основу для стратегії кібербезпеки».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/vulnerabilities-threats/saudi-arabia-uae-top-list-of-apt-targeted-nations-in-middle-east