Иранские кибератаки на инфраструктуру США, предупреждает DHS

Коалиция ведущих агентств кибербезопасности и разведки США в понедельник выпустила резкое предупреждение: ожидается, что иранские государственные хакеры и связанные с ними хактивисты увеличат кибератаки на американские оборонительные системы, критическую инфраструктуру и промышленные сети, особенно те, которые связаны с Израилем.

В совместном уведомлении Агентство кибербезопасности и безопасности инфраструктуры (CISA), Федеральное бюро расследований (FBI), Центр киберпреступности Министерства обороны (DC3) и Агентство национальной безопасности (NSA) призвали американские организации оставаться бдительными к потенциальной целевой кибердеятельности против критической инфраструктуры США и других американских объектов со стороны иранских киберакторов, поскольку угрозы становятся все более частыми и сложными.

«Несмотря на объявленное прекращение огня и продолжающиеся переговоры о постоянном решении, иранские киберакторы и хактивистские группы могут продолжать осуществлять злонамеренную кибердеятельность.

Авторские агентства продолжают следить за ситуацией и будут публиковать соответствующую информацию о киберугрозах и киберзащите по мере ее поступления», — говорится в совместном уведомлении.

Хотя пока не было обнаружено крупномасштабной скоординированной кампании, агентства предупреждают о потенциальном всплеске кибератак со стороны иранских хакеров, особенно по мере нарастания напряженности на Ближнем Востоке.

Угрозы

Компании оборонной промышленности (DIB) — особенно те, которые связаны с израильскими исследовательскими или оборонными организациями — считаются более подверженными риску. Эти акторы часто используют плохо защищенные системы, используя незапатченные программные обеспечения, известные уязвимости и стандартные или слабые пароли.

«Иранские киберакторы и связанные с ними хактивистские группы часто используют цели по возможности, основываясь на использовании незапатченного или устаревшего программного обеспечения с известными уязвимостями (CVE) или использовании стандартных или общих паролей на интернет-соединенных учетных записях и устройствах», — добавили в уведомлении.

Иранские группы киберугроз, многие из которых связаны с Корпусом стражей исламской революции (IRGC), используют ряд техник, таких как автоматизированное угадывание паролей, взлом хешей паролей с использованием онлайн-ресурсов и ввод стандартных паролей производителей, чтобы проникать в системы и перемещаться незамеченными по сетям.

При атаке на системы операционной технологии (OT) они также используют инструменты системной инженерии и диагностики для компрометации производительности, безопасности и систем обслуживания.

Недавно иранские хактивисты увеличили количество взломов веб-сайтов и утечек данных и, вероятно, расширят атаки распределенного отказа в обслуживании (DDoS) на веб-сайты США и Израиля. Кроме того, иранские киберакторы могут сотрудничать с группами-вымогателями для шифрования данных, кражи конфиденциальной информации и ее публикации в интернете.

Предыдущие кампании угроз

С ноября 2023 года по январь 2024 года киберакторы, связанные с Корпусом стражей исламской революции (IRGC), запустили глобальную киберкампанию, нацеленную на программируемые логические контроллеры (PLC) и интерфейсы человек-машина (HMI), затрагивающую такие сектора США, как водоснабжение, энергетика, пищевая промышленность и здравоохранение.

Угрозовые акторы воспользовались промышленными системами управления (ICS), которые были доступны через интернет и все еще использовали заводские стандартные или отсутствующие пароли, а также стандартные порты управления передачей (TCP), которые не были защищены.

В знак протеста против конфликта Израиля и ХАМАСа эти иранские киберакторы также провели несколько операций по взлому и утечке, чтобы украсть и публично раскрыть конфиденциальные данные, часто усиливая это через социальные сети.

Атаки привели к финансовым потерям, репутационному ущербу и стремились подорвать общественное доверие к кибербезопасности. Хотя большинство целей были израильскими, как минимум одна компания IPTV в США также пострадала.

Меры по смягчению последствий

Авторские агентства, в сотрудничестве с правительственными партнерами США и зарубежья, предлагают немедленные шаги для организаций, особенно тех, которые работают в критической инфраструктуре:

• Определить и отключить системы OT и ICS от публичного интернета.
• Заменить слабые/стандартные пароли и внедрить многофакторную аутентификацию (MFA), устойчивая к фишингу.
• Своевременно применять последние патчи программного обеспечения от производителя.
• Следить за необычным поведением удаленного доступа.
• Проводить полное резервное копирование систем и данных.
• Ограничить права администратора и внедрить микросегментацию.

Для получения дополнительной информации организации могут обратиться к Обзору угроз Ирана от CISA и веб-страницам угроз Ирана от FBI.