Поскольку военные действия на Ближнем Востоке переходят на пятый день, сообщество, занимающееся сбором данных об угрозах (threat intelligence), зафиксировало признаки роста объемов кибератак: проиранские хактивисты успешно взломали ряд объектов, включая инфраструктуру энергетического и гостиничного секторов Саудовской Аравии, в то время как атаки с подменой GPS-сигналов (при которых спутниковые данные манипулируются для увода жертв с курса) затронули более 1000 судов в регионе Персидского залива. Новые данные, предоставленные Flashpoint, раскрыли информацию о деятельности многочисленных проиранских группировок за последние несколько дней. Среди операций, известных своей активностью в настоящее время, — Handala Team, про-палестинская хактивистская группа со связями с иранскими спецслужбами, которая заявила о взломе Saudi Aramco, утверждая, что ее хакеры уничтожили инфраструктуру жертвы и остановили добычу нефти, — заявления, которые пока не подтверждены из-за недостатка доказательств. Вторая группа, известная под псевдонимом FAD Team (также известная как Fatimiyoun/Fatimion) — которая идентифицирует себя с Исламским сопротивлением в Ираке — взяла на себя ответственность за пока неподтвержденный взлом WeLearn — израильского стартапа (scaleup) — и Maad Hospitality Towers — планируемого отеля на более чем 50 000 мест в Мекке, Саудовская Аравия, предназначенного для размещения паломников Хаджа. Тем временем группа, известная как PalachPro, заявляющая о своей базировке в России, сигнализировала о готовности сотрудничать с иранскими хакерами, усиливая свои сообщения наряду с российской хактивистской сетью NoName057(16). Другие заметные заявления за последние дни — по данным Unit 42 компании Palo Alto Networks — исходят от хактивистских групп, таких как APT Iran, заявившей о саботаже критической национальной инфраструктуры в Иордании, и зонтичной группы Cyber Islamic Resistance, включающей таких злоумышленников, как RipperSec и Cyb3rDragonzz, которая заявляет, что атаковала израильские организации синхронизированными атаками типа «отказ в обслуживании» (DDoS) и вредоносным ПО для стирания данных (data wiping). Среди других активных групп, отмеченных Unit 42, — Dark Storm Team, Evil Markhors, Sylhet Gang, 313 Team и DieNet — все они заявляют, что атаковали организации в Бахрейне, Израиле, Кувейте, Саудовской Аравии и Объединенных Арабских Эмиратах (ОАЭ). И в знак того, что аналоговые и кинетические методы все еще находят применение в современной гибридной войне, объекты дата-центров Amazon Web Services (AWS) в регионе испытали простои после, по всей видимости, ударов беспилотников по объектам в Бахрейне и ОАЭ, в то время как Flashpoint также сообщил об обнаружении новой коротковолновой радиостанции с номерами на фарси на частоте 7910 кГц, вероятно, передающей кодированные инструкции иранским спящим ячейкам. Реликт времен Холодной войны, радиостанции с номерами использовались как Восточным, так и Западным блоками для связи с агентами под прикрытием — известный британский пример, в народе именуемый Lincolnshire Poacher, вещал из Блетчли-парка. Кэтрин Рейнс, руководитель группы по анализу угроз в команде National Security Solutions в Flashpoint, заявила, что группы, которые сейчас наиболее активны — будь то по-настоящему автономные хактивисты или такие, как Handala, с возможными государственными связями, — созданы для немедленного психологического воздействия на врагов Ирана. «Судя по их тактике — которая до сих пор включала DDoS, дефейсы, заявления о развертывании вредоносного ПО-вайперов или утечку заранее украденных данных — они требуют более низкой операционной безопасности и менее стабильной инфраструктуры. Вероятно, в их мандате от режима стоит создание немедленного хаоса и демонстрация силы, что делает их идеальными первыми реагирующими в киберпространстве», — сказала Рейнс Computer Weekly.
Что стало с государственными APT-группами Ирана?
Наибольшее влияние хактивистских кибератак — это действительно дефейсы веб-сайтов и, в некоторой степени, DDoS-атаки, которые являются деструктивными, но вряд ли многие из ныне активных групп действуют на оппортунистической основе, и многие могут даже не базироваться в самом Иране. Рейнс отметила, что, в отличие от хактивистов, элитные шпионские APT-группы полагаются на скрытность, настойчивость и высокозащищенную инфраструктуру командно-контрольных пунктов (C2). «Нынешняя кинетическая обстановка и внутренняя политика режима по ограничению интернета серьезно нарушают их способность действовать безопасно, и вместо того, чтобы рисковать раскрытием, например, высокоценных доступов или эксплойтов нулевого дня, в период крайней нестабильности сети [и] интернета эти элитные киберподразделения вынуждены занять оборонительную позицию — вероятно, больше сосредоточены на внутренних задачах по укреплению сети, оценке ущерба и обеспечению непрерывности режима», — пояснила она. Алекс Орлеанс, руководитель отдела анализа угроз в Sublime Security, отметил, что для иранских APT-групп, связанных с государством, приоритетом сейчас, скорее всего, является выживание, а не атака. Однако, масштаб обезглавливания руководства оказался настолько велик, отметил Орлеанс, что иранская цепочка командования, как известно, предписывает частям своего силового блока действовать по собственной инициативе. «Если это правда, это будет особенно актуально для киберпространства, поскольку это некритическая функция для национальной обороны, а практически все кибероперации Ирана подпадают под юрисдикцию MOIS или IRGC; а обе эти организации понесли тяжелые потери», — сказал Орлеанс. Джин Муди, полевой технический директор (CTO) в Action1, отметил, что, хотя активность до сих пор была оппортунистической, группы, поддерживаемые государством, быстро активизируются при росте напряженности. **«**На практике это означает сканирование интернета в масштабе на предмет открытых сервисов и использование недавно раскрытых уязвимостей в течение нескольких дней, а иногда и часов. Они часто полагаются на известные недостатки в VPN, периферийных устройствах, брандмауэрах, шлюзах электронной почты и платформах удаленного доступа, а не на новые эксплойты нулевого дня», — сказал Муди. «Для команд безопасности это означает увеличение фонового шума, более агрессивное сканирование и более высокую вероятность попыток эксплуатации против периметральных систем. Ожидайте фишинга, связанного с геополитическими темами, сбора учетных данных и возможных деструктивных действий, таких как кража данных, программы-вымогатели или разрушительная активность вайперов, если произойдет эскалация». Действительно, эксперты Nozomi Networks заявляют, что видят некоторые ранние признаки активности со стороны APT-групп, таких как MuddyWater, OilRig и APT33, которые, по-видимому, нацелены на производственный сектор и транспорт. «Текущий [шаблон обнаружения MITRE ATT&CK] убедительно свидетельствует о том, что противники все еще находятся на стадии исследования и позиционирования своих операций. Доминирование злоупотребления учетными данными по умолчанию и использования действительных учетных записей в сочетании с перебором и сканированием указывает на то, что злоумышленники используют доверенный доступ для скрытного картирования сред с целью выявления ценных активов и установления постоянства присутствия», — написала команда Nozomi. «Это характерно для начальной стадии вторжения, когда цель состоит в том, чтобы понять сетевую архитектуру, отношения привилегий и операционные зависимости, прежде чем переходить к деструктивным или разрушительным тактикам». Вскоре, по словам исследователей, эти сценарии будут расширены до повышения привилегий, латерального перемещения в средах операционных технологий и, возможно, развертывания вайперов данных. APT33 особенно преуспела в этом отношении, имея, по сообщениям, предварительно размещенный доступ к сетям американской энергетики. Великобритания также не осталась в стороне, отмечает Nozomi, и операторам CNI следует обратить на это внимание. Орлеанс из Sublime Security согласился с тем, что, хотя иранские APT-группы будут «отсиживаться» в обозримом будущем, это, вероятно, изменится. «Вероятно… что через несколько дней некоторые из этих злоумышленников выглянут и проверят, какие из ранее скомпрометированных целей им удалось сохранить доступ к ним до начала этого [конфликта]», — сказал он. «Затем они, вероятно, предпримут несколько неуклюжих попыток вызвать сбои». Рейнс из Flashpoint также предвидела возрождение активности APT, как только туман войны немного рассеется, Тегеран почувствует себя немного увереннее, а гражданский интернет-трафик вернется, чтобы скрыть их передвижения. «Когда эти группы вернутся к наступательным действиям, мы подозреваем, что они, вероятно, перейдут от текущей шумной фазы к высокоцелевому, скрытному шпионажу и разрушительным атакам, потенциально используя доступы и цели, которые в настоящее время собираются хактивистским уровнем», — сказала она.
Используйте это время с умом
А пока, по словам Орлеанса из Sublime, защитники могут использовать предстоящие часы и дни в своих интересах. «Меньше беспокойтесь о новой иранской кампании по фишингу на этой неделе и больше используйте эту возможность для поиска в вашей среде признаков компрометации со стороны иранских злоумышленников, которые предшествовали этому конфликту — вероятно, за последние 90–120 дней», — посоветовал он. «Сделайте все необходимое для сдерживания и вытеснения любого враждебного присутствия в этих сетях». Муди из Action1 отметил, что подготовительная работа должна быть сосредоточена на скорости и гигиене. «Немедленно устанавливайте исправления на все внешне доступные системы после раскрытия уязвимости, даже если это означает временный обход обычных циклов установки исправлений. В таких условиях задержка равна риску. Приоритезируйте системы, обращенные к интернету, инфраструктуру идентификации и системы удаленного доступа. Проверьте резервные копии, протестируйте восстановление и подтвердите принудительное использование MFA для привилегированных учетных записей. Увеличьте срок хранения журналов, настройте обнаружение массового сканирования и активности перебора паролей, а также отработайте сценарии реагирования на инциденты. Короче говоря, быстро сократите поверхность атаки и исходите из того, что в первую очередь будут атакованы известные уязвимости», — сказал он. «Будьте готовы, поскольку это будет настоящая кибератака, а не целевые операции ради финансовой выгоды или политического послания, здесь будет нанесен ущерб».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
