На фоне волны кибератак за последнюю неделю, включая продолжающийся инцидент в фирме медицинских технологий Stryker, Агентство по кибербезопасности и защите инфраструктуры США (Cisa) настоятельно призвало организации немедленно усилить конфигурации своих систем управления конечными точками для защиты от вторжений хакеров, связанных с Ираном, и других злоумышленников. Инцидент, произошедший 11 марта в компании Stryker из Мичигана, был нацелен на ее системы управления конечными точками Microsoft Intune и привел к удалению данных с устройств Microsoft и их краже, что повлекло за собой широкомасштабные сбои и в некоторых случаях отложенные последствия для служб здравоохранения на передовой. Об этом инциденте операция иранских хактивистов Handala заявила как о мести за продолжающуюся израильско-американскую войну против Ирана. С тех пор Cisa заявила, что тесно сотрудничает со своими американскими партнерами, включая ФБР, для выявления дальнейших угроз и рисков для организаций. «Для защиты от аналогичной вредоносной деятельности, которая злоупотребляет легитимным программным обеспечением для управления конечными точками, Cisa настоятельно призывает организации внедрить недавно выпущенные рекомендации Microsoft по обеспечению безопасности Microsoft Intune», — говорится в заявлении Cisa. «Принципы этих рекомендаций применимы к Intune и в более широком смысле к другому программному обеспечению для управления конечными точками», — добавило агентство. Организациям рекомендуется использовать функции контроля доступа на основе ролей в Intune для обеспечения принципа наименьших привилегий, предоставляя пользователям минимально необходимые разрешения для выполнения их повседневных задач; строго применять многофакторную аутентификацию, устойчивую к фишингу, и соблюдать гигиену привилегированного доступа с помощью Microsoft Entra; а также перенастроить политики доступа Intune, чтобы требовать одобрения нескольких администраторов для конфиденциальных или высокозначимых действий.
Мировые коллеги
Кевин Найт, генеральный директор Talion, заявил, что руководство Cisa применимо и за пределами США, и предположил, что ожидает аналогичных предупреждений от мировых коллег Cisa — Национальный центр кибербезопасности Великобритании (NCSC) уже опубликовал более широкое киберпредупреждение относительно войны с Ираном. «Что сделало атаку на Stryker столь разрушительной, так это то, что она была совершена не ради денег, ее мотивом было чистое уничтожение, и, в отличие от типичных атак программ-вымогателей, не было возможности заплатить злоумышленникам и вернуть данные», — сказал он. «Если резервные копии не были созданы, это, по сути, означает конец игры и необходимость восстанавливать все с нуля. «Можно с уверенностью сказать, что, учитывая нынешний геополитический климат, подобные деструктивные атаки будут происходить все чаще. Усиление защиты конечных точек, применение наименьших привилегий доступа, регулярное создание резервных копий и наличие хорошо отрепетированных планов реагирования на инциденты — все это важнейшие шаги. «Эти атаки проводятся с целью нанести ущерб странам, и крайне важно, чтобы организации были готовы», — отметил Найт.
Верхушка айсберга
Атака на Stryker стала самым громким инцидентом ответной кибервойны Ирана против США — которые атаковали нефтедобывающее государство всего через два дня после того, как переговоры по его ядерной программе приблизились к эпохальному соглашению, — однако, по мнению наблюдателей, это может быть лишь верхушкой гораздо большего айсберга. Майкл Смит, главный технический директор по полевым операциям в DigiCert, сообщил, что отследил почти 4500 угроз от 43 активных групп, причем самые плодовитые злоумышленники в регионе совершили сотни атак за последние несколько недель. Он отметил, что в целом эти кибератаки направлены скорее на запугивание, чем на разрушение. «Происходит гораздо больше атак, о которых не сообщается», — сказал Смит. «Мы видели множество DDoS-атак на наших клиентов, которые мы смогли смягчить без перебоев в работе. Мы также отслеживаем хактивистские обсуждения на предмет признаков и предупреждений, и эта активность была чрезвычайно высокой. «Подобные атаки — это способ показать людям в других странах, что вы все еще можете до них дотянуться, даже если они находятся на другом континенте. Это делает их скорее тактикой запугивания». Кэтрин Рейнс, руководитель группы разведки киберугроз в команде решений для национальной безопасности в Flashpoint, добавила: «Кибердеятельность, связанная с этим конфликтом, становится все более сфокусированной на деструктивных операциях против организаций. «Такие группы, как Handala, преувеличивают заявления о крупномасштабных атаках, включая уничтожение данных и раскрытие конфиденциальной информации, связанной как с частными компаниями, так и с частными лицами. Даже когда некоторые из этих заявлений трудно проверить, они все равно способствуют неопределенности и могут иметь реальные последующие последствия для доверия, операций и усилий по реагированию». 2 марта:3 марта:4 марта:6 марта:9 марта:10 марта: 11 марта:12 марта:13 марта:16 марта:18 марта:
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
