ABD siber güvenlik ve istihbarat teşkilatları, İran devlet destekli veya bağlı tehdit aktörlerinden potansiyel siber saldırılar hakkında ortak bir danışma uyarısı yayınladı.
Ajanslar, “Geçtiğimiz birkaç ay boyunca, hacktivistler ve İran hükümetine bağlı aktörlerden, son olaylar nedeniyle yükselmesi beklenen faaliyetler arttı.” Dedi.
“Bu siber aktörler, bilinen ortak güvenlik açıkları ve maruziyetleri veya internet bağlantılı hesap ve cihazlarda varsayılan veya ortak şifrelerin kullanımına sahip olmayan veya modası geçmiş yazılımların kullanımına dayanarak fırsat hedeflerinden yararlanırlar.”
Şu anda ABD’de İran, Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Federal Soruşturma Bürosu (FBI), Savunma Siber Suç Merkezi (DC3) ve Ulusal Güvenlik Ajansı (NSA) ‘da atfedilebilecek koordineli bir kötü niyetli siber faaliyet kampanyası olduğuna dair bir kanıt yoktur.
“Artan uyanıklık” ihtiyacını vurgulayan ajanslar, Savunma Sanayi Üssü (DIB) şirketlerini, özellikle İsrail araştırma ve savunma firmalarıyla bağları olan şirketleri yüksek bir risk altında seçtiler. ABD ve İsrail kuruluşlarının dağıtılmış hizmet reddi (DDOS) saldırılarına ve fidye yazılımı kampanyalarına da maruz kalabileceğini de sözlerine ekledi.
Saldırganlar, özellikle endüstriyel kontrol sistemi (ICS) ortamlarında, savunmasız internete bakan cihazlar bulmak için Shodan gibi keşif araçlarıyla başlar. İçeri girdikten sonra, ağlar boyunca yanal olarak hareket etmek için zayıf segmentasyondan veya yanlış yapılandırılmış güvenlik duvarlarından yararlanabilirler. İran grupları daha önce uzaktan erişim araçlarını (sıçanlar), anahtarlogerları ve hatta erişimi artırmak için Psexec veya Mimikatz gibi meşru yönetici hizmetlerini kullanmışlardır – hepsi de temel uç nokta savunmalarından kaçınmıştır.
Önceki kampanyalara dayanarak, İran tehdit aktörleri tarafından monte edilen saldırılar, internete maruz kalan cihazlara erişmek için otomatik şifre tahmin, şifre karma çatlama ve varsayılan üretici şifreleri gibi tekniklerden yararlanır. Ayrıca operasyonel teknoloji (OT) ağlarını ihlal etmek için sistem mühendisliği ve teşhis araçları kullandıkları bulunmuştur.
Geliştirme, İç Güvenlik Bakanlığı’nın (DHS) bir bülten yayınlamasından günler sonra, ABD kuruluşlarını İran ve İsrail arasındaki devam eden jeopolitik gerginliklerin ortasında İran yanlısı hacktivistler tarafından olası “düşük seviyeli siber saldırılar” aramaya çağırdı.
Geçen hafta, Check Point, İran ulus-devlet hackleme grubunun APT35 hedefli gazeteciler, yüksek profilli siber güvenlik uzmanları ve Bilgisayar Bilimi profesörlerinin, Google Gmail giriş sayfaları veya Google Meet davetlerini kullanarak Google hesap kimlik bilgilerini yakalamak için tasarlanmış bir mızrak aktı kampanyası olarak İsrail’deki bilgisayar bilimi profesörlerinin ortaya çıktığını ortaya koydu.
Hiktarlar olarak, kuruluşların aşağıdaki adımları izlemeleri tavsiye edilir –
- OT ve ICS varlıklarını genel internetten tanımlayın ve ayırın
- Cihazların ve hesapların güçlü, benzersiz şifrelerle korunduğundan emin olun, zayıf veya varsayılan şifreleri değiştirin ve çok faktörlü kimlik doğrulamayı (MFA) uygulayın
- Başka herhangi bir ağdan OT ağlarına erişmek için kimliğe dayanıklı MFA uygulayın
- Bilinen güvenlik açıklarına karşı korumak için sistemlerin en son yazılım yamalarını çalıştırdığından emin olun
- OT ağına uzaktan erişim için kullanıcı erişim günlüklerini izleyin
- Yetkisiz değişiklikleri, görüş kaybını veya kontrol kaybını önleyen OT süreçleri oluşturun
- Kurtarmayı kolaylaştırmak için tam sistem ve veri yedeklemelerini benimseyin
Nereden başlayacağınızı merak eden kuruluşlar için, pratik bir yaklaşım ilk olarak dış saldırı yüzeyinizi gözden geçirmektir – hangi sistemlerin ortaya çıktığı, hangi bağlantı noktalarının açık olduğunu ve eski hizmetlerin hala çalışıp çalışmadığı. CISA’nın siber hijyen programı veya NMAP gibi açık kaynaklı tarayıcılar gibi araçlar, saldırganlardan önce risklerin belirlenmesine yardımcı olabilir. Savunmalarınızı MITER ATT & CK çerçevesi ile hizalamak, tehdit aktörleri tarafından kullanılan gerçek dünya taktiklerine dayanarak korumalara öncelik vermeyi kolaylaştırır.
Ajanslar, “Kalıcı bir çözüme yönelik ilan edilen ateşkes ve devam eden müzakerelere rağmen, İran’a bağlı siber aktörler ve hacktivist gruplar hala kötü niyetli siber aktivite yapabilir.” Dedi.