Table of Contents
Cibersegurança e As Ameaças da Ação Cibernética Irani
A cibersegurança e agências de inteligência da Austrália, Canadá e EUA emitiram um alerta sobre uma campanha de um ano promovida por agentes cibernéticos iranianos, visando infiltrar organizações de infraestrutura crítica através de ataques de força bruta.
Descrição dos Ataques
Desde outubro de 2023, os atores iranianos têm utilizado métodos como força bruta e spray de senhas para comprometer contas de usuários e acessar organizações nos setores de saúde, governo, tecnologia da informação, engenharia e energia. As informações foram apresentadas em um aviso conjunto pelas agências de segurança, como o FBI, CISA, NSA, e AFP.
“Os ataques têm como alvo setores críticos, como saúde pública e tecnologia, levantando preocupações sobre a segurança nacional e a proteção de dados sensíveis”, afirmaram as agências.
Estratégias de Invasão e Táticas Utilizadas
Uma técnica notável, além do uso de força bruta, envolve um método chamado prompt bombing, que consiste em inundar o usuário com notificações de autenticação multifatorial (MFA) para manipulá-lo a aprovar solicitações, muitas vezes sem querer.
Ray Carney, diretor de pesquisa na Tenable, afirmou:
“A tática de push bombing é empregada por atores de ameaças, que inundam o usuário com notificações de MFA, visando induzir a aprovação da solicitação.”
- Este método é também conhecido como fadiga de MFA.
- Sistemas de MFA resistentes a phishing são a melhor forma de prevenir o push bombing.
- Se a opção de MFA resistente não estiver disponível, a correspondência numérica pode ser utilizada como um backup viável.
Objetivos e Consequências dos Ataques
O objetivo principal desses ataques é, provavelmente, obter credenciais e informações sobre a rede da vítima, que podem ser vendidas a outros cibercriminosos. Esta dinâmica reflete um alerta anteriormente emitido pelos EUA em agosto de 2024.
Após o acesso inicial, seguem-se etapas para realizar uma extensa reconhecimento dos sistemas e redes da entidade, utilizando ferramentas como living-off-the-land (LotL), escalando privilégios por meio de vulnerabilidades conhecidas, como a CVE-2020-1472 (Zerologon) e movimentos laterais via RDP.
“Os atores realizaram descobertas nas redes comprometidas para obter credenciais adicionais, vendendo essas informações em fóruns cibernéticos para atores que podem usar essas informações para conduzir atividades maliciosas adicionais”.
Diretrizes e Respostas das Agências de Segurança
Esta advertência vem semanas após as agências dos países da Five Eyes publicarem orientações sobre técnicas comuns que os agentes de ameaças usam para comprometer o Active Directory, a solução de autenticação e autorização mais utilizada em redes de TI em todo o mundo.
“Atuando como um ponto focal para a segurança da informação, o Active Directory é alvo frequente de atores maliciosos”, afirmaram as agências.
Além disso, destaca-se uma alteração no cenário de ameaças, onde equipes de hackers de estados-nação estão cada vez mais colaborando com cibercriminosos, terceirizando partes de suas operações para avançar em seus objetivos geopolíticos e financeiros. A Microsoft, em seu Relatório de Defesa Digital 2024, detalhou essa tendência.
Atores de ameaça de estados-nação estão conduzindo operações visando ganhos financeiros e recrutando cibercriminosos para coletar inteligência,” observou a Microsoft.
Conclusão
A crescente complexidade das táticas cibernéticas utilizadas por agentes estatais e cibercriminosos sublinha a necessidade urgente de uma abordagem robusta e colaborativa em cibersegurança. A integração de diferentes camadas de defesa e o compartilhamento de informações são cruciais para a proteção das infraestruturas críticas e a minimização dos riscos associados a essas ameaças emergentes.
#Cibersegurança #AmeaçasCibernéticas #Irã #InfraestruturaCrítica #MFA #CyberThreats #DigitalSecurity
Fonte:https://thehackernews.com/2024/10/us-and-allies-warn-of-iranian.html