Рост кибератак иранских APT на транспорт и производство США

Недавние наблюдения Nozomi Networks Labs зафиксировали значительный рост активности иранских хакерских групп, нацеленных на американские организации в стратегически важных секторах — транспорте и производстве. С мая по июнь количество атак выросло на 133% по сравнению с предыдущими двумя месяцами, достигнув 28 инцидентов против 12 ранее.
Ключевые участники атак
Ряд группировок стоит за ростом киберактивности. Наиболее заметными являются:
- MuddyWater (SeedWorm) — самая активная из них, направляет атаки на государственные учреждения и ключевые сектора экономики, успешно взломав как минимум пять американских компаний.
- APT33 (Elfin) — группа, известная кибершпионажем, провела атаки на три американские компании, преимущественно в аэрокосмической и нефтехимической промышленности.
- OilRig (APT34), CyberAv3ngers, Fox Kitten и Homeland Justice — менее активные, но несмотря на это, совершили атаки против двух американских фирм, опять же сосредоточившись на транспортном и производственном секторах.
Особенности тактик и инструментов атак
Группа CyberAv3ngers в данном периоде отметилась повторным использованием IP-адреса, задействованного в предыдущих атаках, и применением вредоносного ПО OrpaCrab. Это ПО специально разработано для эксплуатации уязвимостей в операционных технологических (OT) системах, что указывает на высокую техническую подготовку злоумышленников.
Отдельно стоит отметить исторический контекст и цели крупнейших группировок:
- MuddyWater — ориентирована на страны Ближнего Востока и государственные структуры, выступая одним из наиболее активных игроков на киберпространстве региона.
- APT33 — связана с кибершпионажем, направленным на кражу сверхсекретной информации, особенно в аэрокосмической и энергетической отраслях, при защите национальных интересов Ирана.
- OilRig — действует с 2014 года, специализируясь на фишинговых кампаниях и создании специализированных вредоносных программ.
- CyberAv3ngers — политически мотивированная группа, использующая методы APT для достижения своих целей.
- Fox Kitten — фокусируется на шпионаже и сохранении продолжительного доступа к критически важным системам для будущих подрывных операций.
Государственная поддержка и последствия атак
Министерство юстиции США определило государственное спонсорство этих кибератак. Особенно заметным примером стала атака на инфраструктуру Албании в 2022 году, что подчеркивает размах и системность угроз со стороны этих групп.
Рекомендации по повышению киберзащиты
Обострение ситуации требует от организаций глубокого пересмотра и усиления своих стратегий безопасности. В связи с постоянным совершенствованием тактик и инструментов хакеров следует уделять особое внимание следующим аспектам:
- Мониторинг подозрительной активности в IT, IoT и OT инфраструктуре.
- Внедрение многоуровневых систем защиты и регулярное обновление программного обеспечения.
- Обучение сотрудников методам выявления и реагирования на фишинговые и целевые атаки.
- Создание планов реагирования на инциденты и проведение регулярных учений.
Постоянный мониторинг и оперативное реагирование остаются ключами к защите критически важных отраслей от профессиональных и разноплановых киберугроз, исходящих от спонсируемых государством хакерских групп.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



