Aktualności

Irańscy hakerzy zagrażają firmom w Europie. Mogą rozszerzyć działania na sojuszników USA.

Irańscy hakerzy atakują – aktywność powiązanych z Teheranem grup hakerskich rośnie. Może rozszerzyć się na sojuszników USA. Celem mogą być podmioty z sektora energetycznego, logistycznego, finansowego i technologicznego w Europie.

W cyberprzestrzeni działają grupy powiązane z Korpusem Strażników Rewolucji Islamskiej (IRGC) oraz irańskim Ministerstwem Wywiadu i Bezpieczeństwa (MOIS). Do tego dochodzą haktywiści. Celem jest szpiegostwo (uzyskanie dostępu do informacji i przyczółków w sieciach), destabilizacja (ataki DDoS, niszczące oprogramowanie, pseudo-ransomware) i operacje informacyjne (łączenie wycieków danych z kampanią propagandową w mediach społecznościowych). Hakerzy atakują też osoby z dostępem do wrażliwych zasobów firm (administratorzy, menedżerowie).

Z czym mamy do czynienia?

Wśród irańskich grup eksperci wymieniają m.in. Cotton Sandstorm. Grupa łączy włamania – defacement stron, kradzież danych, DDoS – z operacjami wpływu. Modus operandi to „hack-and-leak” – wykradzione dane są publikowane i wzmacniane w sieci przez fałszywe tożsamości. Ostatnio gang posługuje się WezRat – infostealerem rozsyłanym w rzekomych aktualizacjach oprogramowania oraz ransomware WhiteLock. Z kolei Educated Manticore podszywa się pod zaufane osoby, rozsyłając linki do fałszywych stron WhatsApp, Microsoft Teams, Google Meet, by przechwycić hasła i tokeny.

Z kolei grupa MuddyWater prowadzi operacje szpiegowskie przeciwko rządom, firmom telekomunikacyjnym i energetycznym. Korzysta z legalnych narzędzi zdalnego zarządzania (RMM) i mechanizmów Windows (PowerShell, WMI), co utrudnia wykrycie. Ataki często rozpoczynają się falą phishingu, przejęciem skrzynek e-mail i rozsyłaniem kolejnych wiadomości już „z zaufanego źródła”. Natomiast Agrius używa wiperów, czyli oprogramowania niszczącego dane. Wykorzystuje luki w publicznie dostępnych serwerach i instaluje webshell, by utrzymać dostęp i poruszać się po sieci ofiary.

Jak się chronić?

Aby się chronić, specjaliści rekomendują wprowadzenie odpornego na phishing uwierzytelniania wieloskładnikowego (MFA). Zaleca też audyt systemów wystawionych do internetu (w tym kamer IP i serwerów), monitorowanie nietypowych logowań. Wskazana jest ostrożność wobec nieoczekiwanych zaproszeń do spotkań online. Kluczowe jest również ograniczenie instalacji nieznanego oprogramowania i kontrola ruchu z komercyjnych sieci VPN, często wykorzystywanych przez atakujących.

Źródło: www.crn.pl

W razie dodatkowych pytań zapraszamy do kontaktu.