Amerikaanse cybersecurity en inlichtingendiensten hebben een gezamenlijke advies gegeven waarschuwing voor potentiële cyberaanvallen van door de door Iraanse door de staat gesponsorde of aangesloten dreigingsactoren.
“In de afgelopen maanden is er toenemende activiteiten geweest van hacktivisten en door de Iraanse door de overheid gelieerde actoren, die naar verwachting zullen escaleren door recente gebeurtenissen,” zeiden de agentschappen.
“Deze cyberactoren maken vaak gebruik van kansen op basis van het gebruik van niet-gepatchte of verouderde software met bekende gemeenschappelijke kwetsbaarheden en blootstellingen of het gebruik van standaard of gemeenschappelijke wachtwoorden op internet-verbonden accounts en apparaten.”
Er is momenteel geen bewijs van een gecoördineerde campagne van kwaadaardige cyberactiviteit in de VS die kan worden toegeschreven aan Iran, het Cybersecurity and Infrastructure Security Agency (CISA), merkte het Federal Bureau of Investigation (FBI), het Department of Defense Cyber Crime Centre (DC3) en het National Security Agency (NSA) op.
De nadruk op de noodzaak van ’toegenomen waakzaamheid’, hebben de agentschappen bedrijven Defense Industrial Base (DIB) bedrijven, met name die met banden met Israëlische onderzoeks- en defensiebedrijven, uitgekozen als een verhoogd risico. VS en Israëlische entiteiten kunnen ook worden blootgesteld aan gedistribueerde Denial-of-Service (DDOS) -aanvallen en ransomware-campagnes, voegden ze eraan toe.
Aanvallers beginnen vaak met verkenningshulpmiddelen zoals Shodan om kwetsbare op internet gerichte apparaten te vinden, vooral in omgevingen van Industrial Control System (ICS). Eenmaal binnen kunnen ze zwakke segmentatie gebruiken of verkeerd geconfigureerde firewalls om lateraal over netwerken te bewegen. Iraanse groepen hebben eerder externe toegangstools (ratten), keyloggers en zelfs legitieme admin -hulpprogramma’s zoals PSEXEC of Mimikatz gebruikt om toegang te escaleren – alles terwijl u basisdeverweer van het eindpunt ontwijkt.
Op basis van eerdere campagnes maken aanvallen op gemonteerd door Iraanse dreigingsacteurs technieken zoals geautomatiseerd wachtwoordraden, wachtwoordhash kraken en wachtwoorden van de standaardfabrikant om toegang te krijgen tot apparaten met internet. Ze zijn ook vastgesteld dat ze systeemtechniek en diagnostische hulpmiddelen gebruiken om Operational Technology (OT) -netwerken (OT) te overtreden.
De ontwikkeling komt dagen nadat het Department of Homeland Security (DHS) een bulletin heeft uitgebracht, waarin Amerikaanse organisaties aanspoorden om op zoek te zijn naar mogelijke “cyberaanvallen op laag niveau” door pro-Iraanse hacktivisten te midden van de lopende geopolitieke spanningen tussen Iran en Israël.
Vorige week onthulde Check Point dat de Iraanse natiestaat Hacking Group volgde als APT35 gerichte journalisten, spraakmakende experts op het gebied van cyberbeveiliging en professoren in de informatica in Israël als onderdeel van een speer-phishing-campagne die is ontworpen om hun Google Account-referenties te veroveren met behulp van nep Gmail Login-pagina’s of Google Meeting Invitations.
Als mitigaties wordt organisaties geadviseerd om de onderstaande stappen te volgen –
- Identificeer en ontkoppelt OT- en ICS -activa van het openbare internet
- Zorg ervoor dat apparaten en accounts worden beschermd met sterke, unieke wachtwoorden, vervang zwakke of standaardwachtwoorden en handhaaft multi-factor authenticatie (MFA)
- Implementeer phishing-resistente MFA voor toegang tot OT-netwerken vanaf elk ander netwerk
- Zorg ervoor dat systemen de nieuwste softwarepatches uitvoeren om te beschermen tegen bekende beveiligingskwetsbaarheden
- Monitor Gebruikerstoegangslogboeken voor externe toegang tot het OT -netwerk
- Stel OT -processen op die ongeoorloofde veranderingen, verlies van zicht of verlies van controle voorkomen
- Neem volledige systeem- en gegevensback -ups over om herstel te vergemakkelijken
Voor organisaties die zich afvragen waar te beginnen, is een praktische aanpak om eerst uw externe aanvalsoppervlak te herzien – welke systemen worden blootgesteld, welke poorten open zijn en of er nog verouderde diensten worden uitgevoerd. Tools zoals CISA’s Cyber Hygiene-programma of open-source scanners zoals NMAP kunnen helpen risico’s te identificeren voordat aanvallers dat doen. Door uw verdediging af te stemmen op het MITER ATT & CK-framework maakt het ook gemakkelijker om prioriteit te geven aan bescherming op basis van real-world tactieken die door dreigingsactoren worden gebruikt.
“Ondanks een verklaarde staakt-het-vuren en voortdurende onderhandelingen over een permanente oplossing, kunnen Iraans-gelieerde cyberactoren en hacktivistische groepen nog steeds kwaadaardige cyberactiviteit uitvoeren,” zeiden de agentschappen.
