Рост кибератак иранских хакеров на Израиль и союзников

Недавние исследования свидетельствуют о стремительном увеличении числа кибератак, связанных с деятельностью иранских хакеров. Основными целями становятся израильские организации и их союзники, при этом атаки охватывают широкий спектр — от шпионажа и кражи данных до мощных распределённых атак типа Denial-of-Service (DDoS). Ведущими игроками на этом поле выступают группы APT42, APT34, MuddyWater и коллектив хактивистов Handala.

Основные действующие лица и их методы

За этими операциями стоят два ключевых игрока — Корпус стражей Исламской революции (КСИР) и Министерство разведки и безопасности Ирана (MOIS). Рассмотрим подробнее их основные подразделения и используемые методы:

• APT42 — специализируется на шпионаже, используя _социальную инженерию_ и компрометацию облачных сервисов. Группа применяет продвинутые методы, включая поддельные страницы входа и скрытый фишинг, нацеленные на конфиденциальные данные. Особое внимание уделяется академическому и правозащитному секторам, где взломанные аккаунты позволяют извлекать значимые сведения.
• MuddyWater — функционирует под контролем MOIS, известна способностью долго сохранять доступ к сетям жертв. В арсенале — бэкдоры PowerShell и эксплуатация общедоступных уязвимостей, таких как Log4j. Основные цели — телекоммуникации, государственное управление и энергетика, с целью сбора разведывательных данных, важных для Ирана.
• APT34 — применяет сложные кампании, согласованные с национальными интересами Ирана. Использует _пользовательское вредоносное ПО_ и _туннелирование DNS_ для управления коммуникациями, что повышает скрытность операций. Целями группы становятся финансовые учреждения и государственные организации, где происходит сбор учетных данных и эксфильтрация информации.
• Handala — политически мотивированная хактивистская группа, специализирующаяся на совершении DDoS-атак и публикации украденных данных. В отличии от других, Handala ориентирована на быстрое и разрушительное воздействие, используя массовые атаки и эксплуатацию известных веб-уязвимостей. Публикация данных на публичных платформах служит средством усиления политических посылов и подрыва доверия к целевым организациям.

Последствия и вызовы для организаций

Актуальные кибероперации иранских групп представляют собой серьёзную угрозу безопасности:

• Потенциальная утечка конфиденциальных и стратегически важный данных;
• Сбои в работе информационных систем из-за DDoS-атак или эксплуатации уязвимостей;
• Урон репутации вследствие публичного раскрытия информации или перебоев в сервисах;
• Трудности с соблюдением нормативных требований после инцидентов.

Рекомендации по усилению киберзащиты

В условиях растущей активности и подготовленности групп рекомендуется организациям принять следующие меры:

• Внедрение и регулярное обновление протоколов для быстрого исправления уязвимостей;
• Мониторинг DNS-трафика для выявления аномалий, связанных с туннелированием и управлением;
• Использование систем безопасности с моделью Zero Trust, подразумевающей постоянную проверку авторизации и полномочий пользователей и устройств;
• Обучение сотрудников распознаванию фишинговых и социальных атак.

Описанные события ещё раз подчёркивают, что современная кибербезопасность требует комплексного подхода и постоянного внимания к изменяющемуся ландшафту угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.