irański Cyberprzestępcy spędzili ostatni rok, stosując „brutalną siłę” i inne techniki w celu uzyskania dostępu do wielu organizacji zajmujących się infrastrukturą krytyczną i kradzieży informacji – wynika z poradnika wydanego ze Stanów Zjednoczonych, Kanady i Australii.
Wspólny poradnik opublikowany w środę przez USA Cyberbezpieczeństwo and Infrastructure Agency oraz Federalne Biuro Śledcze twierdzą, że napastnicy obrali za cel organizacje z sektora opieki zdrowotnej, sektora rządowego, technologii informatycznych, inżynierii i energetyki.
„Osoby atakujące prawdopodobnie dążą do uzyskania danych uwierzytelniających i informacji opisujących sieć ofiary, które można następnie sprzedać, aby umożliwić dostęp cyberprzestępcom” – czytamy w poradniku.
Kanadyjski Urząd ds. Bezpieczeństwa Łączności, Australijskie Centrum Bezpieczeństwa Cybernetycznego i australijska policja federalna dołączyły do agencji amerykańskich, tworząc wspólne zalecenia, z których wynika, że działania te rozpoczęły się w październiku 2023 r.
Techniki „brutalnej siły” obejmują systematyczne odgadywanie haseł w celu uzyskania dostępu do kont e-mail użytkowników i grup ofiar lub korzystanie z narzędzia do resetowania hasła.
W poradniku wskazano, że irańscy aktorzy stosowali również „bombardowanie wypychane” na kontach chronionych za pomocą uwierzytelniania wieloskładnikowego (MFA) – bombardowanie użytkowników powiadomieniami do czasu, aż żądanie zostanie przez pomyłkę zatwierdzone lub usługa MFA zostanie wyłączona.
Zgodnie z poradą, aktorzy następnie rejestrują własne urządzenia w MFA, aby mieć pewność, że pozostaną połączone z kontem, na które zhakowano.
Agencje twierdzą, że po zalogowaniu się irańscy aktorzy dokonali „wykrycia” zaatakowanych sieci w celu uzyskania dodatkowych danych uwierzytelniających i innych informacji umożliwiających dostęp.
Otrzymuj codzienne wiadomości krajowe
Otrzymuj najważniejsze wiadomości dnia, nagłówki z zakresu polityki, gospodarki i spraw bieżących, dostarczane do Twojej skrzynki odbiorczej raz dziennie.
„Agencje autorskie oceniają, że irańskie podmioty sprzedają te informacje na forach cyberprzestępczych podmiotom, które mogą wykorzystać te informacje do prowadzenia dodatkowej szkodliwej działalności” – czytamy w poradniku.
Agencje twierdzą, że organizacje mogą wykryć aktywność brute-force, wyszukując powtarzające się nieudane próby logowania w swoich dziennikach uwierzytelniania, a także logowania i uwierzytelnienia MFA z „nieoczekiwanych lokalizacji lub z nieznanych urządzeń”. Sprawdzanie adresów IP względem znanych kont użytkowników może również ujawnić zhakowane konta.
Organizacje mogą dodatkowo chronić się, przeglądając procedury dotyczące haseł, całkowicie usuwając konta i dane uwierzytelniające odchodzących pracowników, wdrażając usługę MFA odporną na phishing i stale przeglądając ustawienia usługi MFA w celu ochrony „usług, które można wykorzystać”.
„Te ograniczenia mają zastosowanie do podmiotów infrastruktury krytycznej we wszystkich sektorach” – czytamy w dokumencie doradczym.
Poradnik opublikowano dzień po tym, jak w najnowszym raporcie Microsoftu na temat zagrożeń cyfrowych wskazano Iran jako czołowego podmiotu zajmującego się zagrożeniami cybernetycznymi, który wraz z Rosją i Chinami w coraz większym stopniu polega na sieciach przestępczych w prowadzeniu cyberszpiegostwa i operacji hakerskich przeciwko takim przeciwnikom, jak Stany Zjednoczone i ich sojusznicy.
W jednym z przykładów analitycy Microsoftu odkryli, że przestępcza grupa hakerska mająca linki do Iranu przeniknęła izraelski serwis randkowy, a następnie próbowała sprzedać uzyskane dane osobowe lub wykupić okup. Microsoft doszedł do wniosku, że hakerzy chcieli zawstydzić Izraelczyków i zarobić pieniądze.
Urzędnicy amerykańscy oskarżyli Iran o potajemne wspieranie amerykańskich protestów przeciwko izraelskiemu konfliktowi z Hamasem w Gazie. W raporcie Microsoftu wskazano, że irańscy aktorzy obrali za cel Stany Zjednoczone i ich bliskowschodnich sojuszników, takich jak Zjednoczone Emiraty Arabskie i Bahrajn, ze względu na ich postrzegane wsparcie dla Izraela w szerszym konflikcie na Bliskim Wschodzie.
Sieci powiązane z Iranem, Rosją i Chinami również wycelowały w amerykańskich wyborców, wykorzystując fałszywe strony internetowe i konta w mediach społecznościowych do rozpowszechniania fałszywych i wprowadzających w błąd twierdzeń na temat zbliżających się wyborów prezydenckich w USA.
Irańscy hakerzy zaatakowali kampanię Donalda Trumpa i konta e-mail niektórych jego zwolenników i ukradli pewne materiały, które według FBI hakerzy bezskutecznie próbowali sprzedać kampanii Demokratów. O cyberatak oskarżono trzech irańskich agentów.
Iran zaprzeczył jakiejkolwiek wiedzy na temat działań cybernetycznych wymierzonych w inne kraje ani udziału w nich.
— z plikami z The Associated Press
© 2024 Global News, oddział Corus Entertainment Inc.
