ABD siber ajansları, FBI ve NSA, bugün ABD’nin kritik altyapısını hedefleyen İran’a bağlı bilgisayar korsanlarının potansiyel siber saldırıları hakkında acil bir uyarı yayınladı.
CISA, devam eden bir kampanyanın hiçbir göstergesi olmadığını, ancak kritik altyapı örgütlerini ve diğer potansiyel hedefleri, Orta Doğu’daki mevcut huzursuzluk ve daha önce İran ile bağlantılı siber saldırılar nedeniyle savunmalarını izlemeye çağırıyor.
Ortak bir bilgi formunda, siber ajanslar, İsrail savunma ve araştırmalarıyla bağları olan savunma sanayi üssü (DIB) şirketlerinin hedeflenme riskinin arttığı konusunda uyarıyor. Enerji, su ve sağlık hizmeti de dahil olmak üzere kritik altyapı sektörlerindeki diğer kuruluşlar da potansiyel hedefler olarak kabul edilmektedir.
Danışmanlık, İran tehdit aktörlerinin İran olduğu konusunda uyarılmamış güvenlik açıklarından yararlandığı veya ihlal sistemleri kazanmak için varsayılan şifreler kullandığı biliniyor. Bu, geçen yıl IRGC’ye bağlı İran tehdit aktörlerinin Kasım 2023’te Unitronics Programlanabilir Mantık Kontrolörlerine (PLCS) hacklenerek bir Pennsylvania su tesisini ihlal ettiği görüldü.
İran’a bağlı bilgisayar korsanları aynı zamanda hacktivistlerle birlikte çalışır veya hareket eder, dağıtılmış hizmet reddi (DDOS) saldırıları yapar veya web sitelerini tahrif ederler. Bu saldırılar genellikle politik olarak motive edilmiş mesajlarla birlikte, saldırganlar X ve telgraftaki faaliyetlerini teşvik eder.
İran tehdit aktörleri, fidye yazılımı kullanma veya NoScape, Ransomhouse ve ALPHV (Blackcat olarak da bilinir) gibi Rus fidye yazılımı çeteleriyle iştirak olarak çalışarak gözlemlendi. Bu saldırıların çoğu, cihazları şifreledikleri ve çalıntı verileri sızdırdıkları İsrail şirketlerine odaklandı.
Bazı durumlarda, saldırganlar kuruluşlara yıkıcı saldırılar yapmak için fidye yazılımı yerine veri silecekleri kullandılar.
Saldırıları azaltmak
CISA, DOD, FBI ve NSA, kuruluşları bu tehditlere karşı korumak için aşağıdaki en iyi uygulamaları benimsemeye çağırıyor:
- OT ve ICS sistemlerini genel internetten izole edin ve uzaktan erişimi kısıtlayın.
- Tüm çevrimiçi hesaplar ve sistemler için güçlü, benzersiz şifreler kullanın ve tüm varsayılan hesap şifrelerini değiştirin.
- Kritik sistemler ve kimlik doğrulama platformları için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin.
- Tüm yazılım güncellemelerini, özellikle bilinen güvenlik açıklarını düzeltmek için internete dönük sistemlere yükleyin.
- Olağandışı etkinlik için ağları ve sunucuları izleyin.
- Tüm yedeklemelerin ve kurtarma planlarının çalıştığından emin olmak için olay müdahale planları geliştirin ve test edin.
Daha fazla bilgi için kuruluşlar CISA’nın İran Tehdit Genel Bakışını ve FBI’ın İran Tehdit Web sayfalarını okuyabilir.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.