Microsoft: иранские государственные хакеры все чаще атакуют ИТ-сектор

17
Microsoft: иранские государственные хакеры все чаще атакуют ИТ-сектор

Microsoft заявляет, что поддерживаемые Ираном хакерские группы в этом году все чаще пытались скомпрометировать компании, предоставляющие ИТ-услуги, чтобы украсть учетные данные, которые они могли использовать для взлома систем нижестоящих клиентов.

По мнению аналитиков безопасности из Microsoft Threat Intelligence Center (MSTIC) и Digital Security Unit (DSU), эта деятельность является частью более широкой шпионской задачи по компрометации объектов, представляющих интерес для иранского режима.

«Эта деятельность примечательна тем, что нацеливание на третьих лиц может использовать более уязвимые организации за счет использования преимуществ доверия и доступа в цепочке поставок», — заявила Microsoft.

«Microsoft заметила, что несколько иранских злоумышленников нацелены на сектор ИТ-услуг в атаках, направленных на кражу учетных данных, принадлежащих нижестоящим клиентским сетям, для обеспечения дальнейших атак».

Редмонд отправил более 1600 уведомлений, чтобы предупредить более 40 ИТ-компаний о попытках взлома, координируемых иранскими группами APT.

Это ошеломляющий рост по сравнению с 2020 годом, когда Microsoft отправляла только 48 уведомлений за год.

Большинство этих атак нацелены на индийские компании, предоставляющие ИТ-услуги, а некоторые из них также нацелены на несколько компаний, базирующихся в Израиле и Объединенных Арабских Эмиратах.

Как сообщила Microsoft, две иранские хакерские группы, отслеживаемые как DEV-0228 и DEV-0056, успешно взломали ИТ-компании из Израиля и Бахрейна в июле и сентябре:

  • В июле 2021 года группа, которую MSTIC отслеживает как DEV-0228 и оценивает как находящуюся в Иране, взломала одну израильскую ИТ-компанию, которая предоставляет программное обеспечение для управления бизнесом. Согласно оценке MSTIC, DEV-0228 использовал доступ к этой ИТ-компании для расширения своих атак и компрометации последующих клиентов в оборонном, энергетическом и юридическом секторах в Израиле. 
  • В сентябре мы обнаружили отдельную иранскую группу, DEV-0056, взломавшую учетные записи электронной почты в бахрейнской компании по интеграции ИТ, которая работает над интеграцией ИТ с клиентами правительства Бахрейна, которые, вероятно, были конечной целью DEV-0056. DEV-0056 также скомпрометировал различные учетные записи в частично государственной организации на Ближнем Востоке, которая предоставляет информационно-коммуникационные технологии для оборонного и транспортного секторов, представляющих интерес для иранского режима. DEV-0056 сохранял настойчивость в организации ИТ-интеграции по крайней мере до октября.

Иранские субъекты угроз были в центре внимания в течение последних двух недель, и было сделано несколько рекомендаций и отчетов, предупреждающих об активности Ирана, направленной против организаций по всему миру.

Агентства по кибербезопасности США, Великобритании и Австралии предупредили в четверг о продолжающейся эксплуатации уязвимостей Microsoft Exchange ProxyShell и Fortinet, связанных с спонсируемой Ираном хакерской группой и атаками программ-вымогателей.

Днем ранее Microsoft Threat Intelligence Center (MSTIC) сообщил, что шесть иранских хакерских групп начали развертывание программ-вымогателей и извлечение данных из систем жертв, начиная с сентября 2020 года.

ФБР также предупредило в сообщении TLP: AMBER для частной отрасли (PIN) иранского злоумышленника, пытающегося купить украденную информацию, связанную с американскими и мировыми организациями, из открытых и темных веб-источников, которые могут быть использованы для повторного взлома их систем.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here