Рост кибератак иранских APT на транспорт и производство США

Рост кибератак иранских APT на транспорт и производство США

Недавние наблюдения Nozomi Networks Labs зафиксировали значительный рост активности иранских хакерских групп, нацеленных на американские организации в стратегически важных секторах — транспорте и производстве. С мая по июнь количество атак выросло на 133% по сравнению с предыдущими двумя месяцами, достигнув 28 инцидентов против 12 ранее.

Ключевые участники атак

Ряд группировок стоит за ростом киберактивности. Наиболее заметными являются:

  • MuddyWater (SeedWorm) — самая активная из них, направляет атаки на государственные учреждения и ключевые сектора экономики, успешно взломав как минимум пять американских компаний.
  • APT33 (Elfin) — группа, известная кибершпионажем, провела атаки на три американские компании, преимущественно в аэрокосмической и нефтехимической промышленности.
  • OilRig (APT34), CyberAv3ngers, Fox Kitten и Homeland Justice — менее активные, но несмотря на это, совершили атаки против двух американских фирм, опять же сосредоточившись на транспортном и производственном секторах.

Особенности тактик и инструментов атак

Группа CyberAv3ngers в данном периоде отметилась повторным использованием IP-адреса, задействованного в предыдущих атаках, и применением вредоносного ПО OrpaCrab. Это ПО специально разработано для эксплуатации уязвимостей в операционных технологических (OT) системах, что указывает на высокую техническую подготовку злоумышленников.

Отдельно стоит отметить исторический контекст и цели крупнейших группировок:

  • MuddyWater — ориентирована на страны Ближнего Востока и государственные структуры, выступая одним из наиболее активных игроков на киберпространстве региона.
  • APT33 — связана с кибершпионажем, направленным на кражу сверхсекретной информации, особенно в аэрокосмической и энергетической отраслях, при защите национальных интересов Ирана.
  • OilRig — действует с 2014 года, специализируясь на фишинговых кампаниях и создании специализированных вредоносных программ.
  • CyberAv3ngers — политически мотивированная группа, использующая методы APT для достижения своих целей.
  • Fox Kitten — фокусируется на шпионаже и сохранении продолжительного доступа к критически важным системам для будущих подрывных операций.

Государственная поддержка и последствия атак

Министерство юстиции США определило государственное спонсорство этих кибератак. Особенно заметным примером стала атака на инфраструктуру Албании в 2022 году, что подчеркивает размах и системность угроз со стороны этих групп.

Рекомендации по повышению киберзащиты

Обострение ситуации требует от организаций глубокого пересмотра и усиления своих стратегий безопасности. В связи с постоянным совершенствованием тактик и инструментов хакеров следует уделять особое внимание следующим аспектам:

  • Мониторинг подозрительной активности в IT, IoT и OT инфраструктуре.
  • Внедрение многоуровневых систем защиты и регулярное обновление программного обеспечения.
  • Обучение сотрудников методам выявления и реагирования на фишинговые и целевые атаки.
  • Создание планов реагирования на инциденты и проведение регулярных учений.

Постоянный мониторинг и оперативное реагирование остаются ключами к защите критически важных отраслей от профессиональных и разноплановых киберугроз, исходящих от спонсируемых государством хакерских групп.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: