تحذر الوكالات الأمريكية من ارتفاع الهجمات الإلكترونية الإيرانية على شبكات الدفاع وشبكات OT والبنية التحتية الحرجة
أصدرت وكالات الأمن السيبراني والذكاء الأمريكي تحذيرًا مشتركًا للهجمات الإلكترونية المحتملة من الجهات الفاعلة التي ترعاها الدولة أو التابعة للدولة الإيرانية.
“على مدار الأشهر القليلة الماضية ، كان هناك نشاط متزايد من المتسللين والممثلين التابعين للحكومة الإيرانية ، والتي من المتوقع أن تتصاعد بسبب الأحداث الأخيرة” ، الوكالات قال.
“غالبًا ما تستغل هذه الجهات الفاعلة السيبرانية أهداف الفرص بناءً على استخدام برامج غير مدعومة أو عفا عليها الزمن مع نقاط الضعف والتعرضات المشتركة المعروفة أو استخدام كلمات المرور الافتراضية أو الشائعة على الحسابات والأجهزة المتصلة بالإنترنت.”
لا يوجد حاليًا أي دليل على وجود حملة منسقة للنشاط السيبراني الخبيث في الولايات المتحدة والتي يمكن أن تعزى إلى إيران ، ووكالة الأمن السيبراني والبنية التحتية (CISA) ، ومكتب التحقيقات الفيدرالي (FBI) ، ومركز وزارة الدفاع الإلكترونية (DC3) ، ووكالة الأمن القومي (NSA).
مع التأكيد على الحاجة إلى “زيادة اليقظة” ، حددت الوكالات شركات القاعدة الصناعية الدفاعية (DIB) ، وتحديداً تلك التي لديها علاقات مع شركات الأبحاث والدفاع الإسرائيلية ، باعتبارها في خطر مرتفع. وأضافوا أن الكيانات الأمريكية والإسرائيلية قد تتعرض أيضًا لهجمات رفض الخدمة (DDOS) وحملات الفدية.
غالبًا ما يبدأ المهاجمون بأدوات الاستطلاع مثل Shodan للعثور على أجهزة تواجه الإنترنت الضعيفة ، وخاصة في بيئات نظام التحكم الصناعي (ICS). بمجرد دخولها ، يمكنهم استغلال تجزئة ضعيفة أو جدران الحماية الخاطئة للتنقل بشكل جانبي عبر الشبكات. استخدمت المجموعات الإيرانية مسبقًا أدوات الوصول عن بُعد (الفئران) ، وأغلاق المفاتيح ، وحتى أدوات المساعدة المشروعة مثل Psexec أو Mimikatz لمصاعد الوصول – مع التهرب من دفاعات نقطة النهاية الأساسية.
استنادًا إلى الحملات السابقة ، فإن الهجمات التي تم تركيبها من قبل ممثلي التهديد الإيراني للاستفادة من التقنيات مثل تخمين كلمة المرور الآلية ، وتكسير تجزئة كلمة المرور ، وكلمات مرور الشركة المصنعة الافتراضية للوصول إلى الأجهزة المعرضة للإنترنت. تم العثور عليها أيضًا لتوظيف أدوات هندسة النظام والتشخيص لخرق شبكات تكنولوجيا التشغيلية (OT).
ويأتي هذا التطور بعد أيام من إطلاق وزارة الأمن الداخلي (DHS) نشرة ، وحث المنظمات الأمريكية على أن تكون على دراية بـ “الهجمات الإلكترونية منخفضة المستوى” المحتملة من قبل المتسللين المؤيدين للإيرانيين وسط التوترات الجيوسياسية المستمرة بين إيران وإسرائيل.
في الأسبوع الماضي ، كشفت Check Point أن مجموعة القرصنة الإيرانية للدولة القومية التي تم تتبعها كصحفيين مستهدفين APT35 ، وخبراء الأمن السيبراني البارزين ، وأساتذة علوم الكمبيوتر في إسرائيل كجزء من حملة صياغة الرمح المصممة لالتقاط بيانات اعتماد حساب Google الخاصة بهم باستخدام صفحات تسجيل الدخول إلى Google Gmail.
كما تخفيف ، ينصح المنظمات باتباع الخطوات أدناه –
- تحديد وفصل أصول OT و ICS من الإنترنت العام
- تأكد من حماية الأجهزة والحسابات بكلمات مرور قوية وفريدة من نوعها ، واستبدل كلمات المرور الضعيفة أو الافتراضية ، وفرض مصادقة متعددة العوامل (MFA)
- تنفيذ MFA المقاوم للتصيد الخداع للوصول إلى شبكات OT من أي شبكة أخرى
- تأكد من أن الأنظمة تعمل على أحدث تصحيحات البرامج للحماية من نقاط الضعف المعروفة
- مراقبة سجلات وصول المستخدم للوصول عن بُعد إلى شبكة OT
- إنشاء عمليات OT التي تمنع التغييرات غير المصرح بها ، أو فقدان العرض ، أو فقدان السيطرة
- اعتماد النسخ الاحتياطية للنظام الكامل والبيانات لتسهيل الاسترداد
بالنسبة للمؤسسات التي تتساءل إلى أين تبدأ ، يتمثل النهج العملي في مراجعة سطح الهجوم الخارجي أولاً – ما هي الأنظمة المعرضة ، والتي تكون الموانئ مفتوحة ، وما إذا كانت أي خدمات عفا عليها الزمن لا تزال قيد التشغيل. أدوات مثل برنامج النظافة الإلكترونية في CISA أو الماسحات الضوئية مفتوحة المصدر مثل NMAP يمكن أن تساعد في تحديد المخاطر قبل أن يفعل المهاجمون. إن محاذاة دفاعاتك مع إطار عمل Miter ATT & CK أيضًا يجعل من السهل تحديد أولويات الحماية بناءً على تكتيكات العالم الحقيقي المستخدمة من قبل الجهات الفاعلة للتهديد.
وقالت الوكالات: “على الرغم من وقف إطلاق النار والمفاوضات المستمرة نحو حل دائم ، فإن الجهات الفاعلة الإلكترونية التابعة الإيرانية والجماعات المتداخلة قد لا تزال تجري نشاطًا إلكترونيًا خبيثًا”.
