Vestlige myndigheter advarer mot en rekke angrep rettet mot kritisk infrastruktur gjennom passord-angrep.
Etterretningstjenester og kybersikkerhetsmyndigheter fra USA, Australia og Canada har varslet om en omfattende kampanje, utført av Iran-relaterte trusselaktører, som har pågått i over et år. Dette melder Security Affairs.
Angriperne har brukt metoder som passordangrep, også kalt «brute force», og forsøk på å benytte passord for å bryte seg inn i organisasjoner innen kritisk infrastruktur.
Angrep siden oktober 2023
Angrepene har funnet sted siden minst oktober 2023, der trusselaktører knyttet til Iran har forsøkt å hacke brukerkontoer og skaffe seg tilgang til organisasjoner innen helsesektoren, offentlig sektor, informasjonsteknologi, ingeniørfag og energisektoren.
«The Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Communications Security Establishment Canada (CSE), Australian Federal Police (AFP) og Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) har utgitt denne felles kybersikkerhetsadvarselen for å advare nettverksbeskyttere om iranske kyberaktørers bruk av brute force og andre teknikker for å kompromittere organisasjoner i flere kritiske infrastruktursektorer,» står det i rapporten publisert av USAs CISA (Critical Infrastructure Security Agency).
Ifølge rapporten er målet til angriperne å skaffe legitimasjon og informasjon om ofrenes nettverk, som senere kan selges videre til kriminelle aktører.
Les også: Libanon anklager Iran for skammelig innblanding
Iran-relaterte hackere har også benyttet seg av såkalt «MFA-bombing» for å bryte seg inn i nettverkene de retter seg mot. Dette innebærer at de gjentatte ganger sender push-varsler til offerets enhet, i håp om at vedkommende vil godkjenne én av forespørslene, enten ved et uhell eller på grunn av frustrasjon.
I slike tilfeller har angriperen allerede brukernavn og passord, og ved å oversvømme offeret med MFA-forespørsler kan de til slutt skaffe seg tilgang til kontoen.
Videre teknikker
Når angriperne har fått tilgang til en konto, registrerer de ofte sine egne enheter i MFA-systemet for å opprettholde tilgangen. De har også blitt observert å endre MFA-registreringer, gjennomføre nettverksundersøkelser og samle legitimasjon for å utvide sin tilgang i kompromitterte systemer.
I enkelte tilfeller har de brukt virtuelle private nettverk (VPN) for å skjule sin lokasjon, og utnyttet åpne MFA-registreringer eller passordresettingsverktøy for å endre passord og få tilgang til tjenester som Microsoft 365 og Azure.
Iran-relaterte aktører har også brukt eksterne skrivebordsprotokoller (RDP) for å bevege seg mellom ulike systemer, og i minst ett tilfelle har de brukt Microsoft Word til å åpne PowerShell for å kjøre kommandoer.
Anbefalinger for deteksjon
Myndighetene anbefaler å sjekke autentiseringslogger for gjentatte påloggingsfeil som kan indikere brute force-angrep. Den felles rapporten inneholder også anbefalinger for hvordan man kan oppdage bruken av kompromittert legitimasjon, spesielt når dette kombineres med virtuell infrastruktur.
Kinesiske hackere truer amerikansk infrastruktur, avslører FBI
