Напряженность в отношениях между Соединенными Штатами и Ираном возросла после убийства иранского командующего силами IRGC-Кудса Кассема Сулеймани в результате удара беспилотника США, когда он находился в Ираке. Иранские лидеры пообещали принять ответные меры против США, поскольку министерство национальной безопасности США предупредило, что предыдущие иранские планы включали в себя «кибернетические» атаки против целого ряда американских целей.
Итак, если Иран решил использовать кибер-средства для реагирования, как бы это могло выглядеть?
Иран долгое время считался одной из четырех стран, которые представляют наибольшую онлайн-угрозу для США, наряду с с Китаем, Россией и Северной Кореей, а также была история иранских вторжений в США против США.
СМ.: Выигрышная стратегия в области кибербезопасности (специальный отчет ZDNet) | Скачать отчет в формате PDF (TechRepublic)
В марте 2018 года министерство юстиции США обвинило девять иранцев в гигантской кампании кибер-кражи, украсть более 31 терабайт документов и данных из более чем 140 американских университетов и 30 американских компаний.
В марте 2016 года США обвинили семерых иранцев в более скоординированной кампании DDoS-атак против 46 компаний, в основном в финансовом секторе США, с конца 2011 года до середины 2013 года. В то же время одному человеку также было предъявлено обвинение в получении несанкционированного доступа к системам управления плотины Боуман в Рай, штат Нью-Йорк.
Февраль 2014 г. Взлом корпорации Sands Las Vegas Corporation в Лас-Вегасе, в ходе которой были получены данные о клиентах. украли и — согласно сообщениям — некоторые компьютеры были стерты, также обвиняли в Иране.
Также стоит отметить, что США также использовали кибератаки против Ирана — прежде всего вирус Stuxnet, который был разработан, чтобы повредить оборудование, используемое в ядерной программе Ирана, еще в 2007 году. Совсем недавно, в июне прошлого года, США атаковали компьютерные системы, используемые Ираном для контроля за запусками ракет, после того, как Иран сбил дрон наблюдения США.
Возможности Ирана, как правило, считались более ограниченными, чем возможности России и Китая, но, возможно, недавно расширились.
В своей последней глобальной оценке угроз — с января прошлого года — американские спецслужбы заявили, что Иран пытается создать кибернетический потенциал, который позволит атаковать критическую инфраструктуру в США и в других местах.
«Иран готовился к кибератакам против США и наших союзников», говорится в докладе, в котором предупреждается, что Иран способен вызвать «локальные, временные разрушительные последствия». Эти последствия могут включать разрушение корпоративных сетей крупной компании в течение нескольких дней или недель, так как в атаках по уничтожению данных Иран обвиняется в проведении против целей в Саудовской Аравии.
Но это отражает то, что возможности Ирана ограничены в отличие от России и Китая, которые способны разрушить критически важную инфраструктуру, такую как газопроводы или электрические сети. Однако может случиться так, что в прошлом году Иран развил свои возможности.
На прошлой неделе в предупреждении Министерства внутренней безопасности США отмечалось: «Иран поддерживает надежную киберпрограмму и может совершать кибератаки против Соединенных Штатов, «он предупредил, добавив, что Иран способен, как минимум,« проводить атаки с временным разрушительным воздействием на критическую инфраструктуру в Соединенных Штатах ».
Содержание статьи
Достоверный наступательный актер
Кибербезопасность США Агентство по обеспечению безопасности инфраструктуры (CISA) также предупредило, что Иран постоянно совершенствует свои наступательные кибер-возможности, выходя за рамки DDoS и искажения веб-сайтов, и что его хакеры продемонстрировали готовность к дальнейшим действиям, включая «разрушительное вредоносное ПО и, возможно, кибер-атаки». разрешенные кинетические атаки ".
" Иран является заслуживающим доверия наступательным актором в киберпространстве, который в последние годы предпринял шаги по наращиванию своего военного потенциала в этой области — в В прошлом они полагались на сторонние группы и поддерживающих хакеров при проведении атак », — сказал Дункан Ходжес, старший преподаватель по операциям в киберпространстве в Университете Крэнфилда.
Кибернетические возможности Ирана можно разбить на три основные области; шпионаж, деструктивные атаки и манипуляции в социальных сетях (охранные компании отслеживают различные иранские группы по модели усовершенствованной постоянной угрозы (APT), такие как APT33, APT34, APT35 и APT39, хотя в операции может быть до 10 различных иранских групп.)
Он постоянно нацелен на правительственных чиновников, правительственные организации и компании для получения разведывательных данных либо для промышленного шпионажа, либо для улучшения своего положения для будущих атак.
Например, в октябре Microsoft предупредила, что ее команда безопасности видела, как иранские хакеры атаковали 241 учетную запись электронной почты, включая те, которые связаны с президентской кампанией в США, нынешние и бывшие представители правительства США, журналисты, освещающие глобальную политику, и видные деятели. Иранцы живут за пределами Ирана. Четыре счета были скомпрометированы в результате. Иранские хакеры также обвиняются в том, что они пытались украсть данные у американских военных ветеранов и пытались украсть академические исследования.
СМ.: 30 лет вымогателей: как одна странная атака заложила основы для захвата вредоносного ПО во всем мире
Иран запускает многократную шпионскую кампанию каждый месяц, говорит Шеррод ДеГриппо, старший директор по исследованиям и обнаружению угроз в компании Proofpoint. Но в основном они были связаны с разведкой путем кражи данных и данных для входа в систему, а не нанесения ущерба.
Их цель — по крайней мере в прошлом — была закрепиться в организации, извлечь данные и они сохраните эту опору для дальнейшего использования, сказал ДеГриппо.
«Они относительно сложные, но я не видел глубоких разрушительных катастрофических событий от этих групп», — сказала она. «У них много доступа, они провели много кампаний, но они молчали. И так, что сейчас произойдет?»
Иран также использовал кампании в социальных сетях сосредоточены на аудитории в США и других странах для продвижения своих интересов. В октябре прошлого года Facebook заявил, что он удалил три сети поддельных учетных записей, связанных с Ираном (и одну, связанную с Россией), которые, помимо прочего, передавали контент из странных новостных организаций.
Но это использование Вредоносное ПО, которое может уничтожить компьютеры и жесткие диски хакерами Ирана и создающее самый серьезный риск разрушительной атаки.
Атака 2012 года на нефтяную компанию Saudi Aramco с использованием вредоносного ПО Shamoon, вероятно, является самой громкой кибератакой. по Ирану и видел как минимум 30 000 компьютеров уничтоженных.
С тех пор, по данным компаний, занимающихся вопросами безопасности, обновленные версии этой вредоносной программы использовались хакерами, поддерживаемыми Ираном (или группами, маскирующимися под хакеров, поддерживаемых Ираном), для атаки на цели в Саудовской Аравии и на Ближнем Востоке.
В прошлом месяце IBM предупредила о новой форме вредоносного ПО под названием ZeroCleare, целью которой является перезапись основной загрузочной записи и разделов диска на компьютерах под управлением Windows. IBM заявила, что вредоносные программы были использованы против промышленного и энергетического секторов, и сказала, что хакеры, поддерживаемые Ираном, вероятно, несут за это ответственность.
«История кибератак в Иране была скорее разрушительной, чем манипулятивной. Они пытались уничтожить и разрушить инфраструктура и оборудование », — сказал Ходжес.
Предупреждение о кибершпионаже
Все эти различные компоненты — цифровой шпионаж, фишинг, кампании в социальных сетях и разрушительное вредоносное ПО — все это потенциальные риски, если Иран действительно решает использовать кибервойну как часть своего ответа.
Джон Халквист, директор по анализу разведывательных данных в компании технической безопасности FireEye, сказал, что вероятным первым следствием нынешнего кризиса будет всплеск кибершпионажа со стороны Ирана.
«Они хотят знать что думают США и как готовятся военные, и что делают наши союзники. Они попытаются взломать компьютеры, принадлежащие людям, обладающим этой информацией », — сказал он ZDNet.
Пока Тегеран Хакерские группы, поддерживаемые хакерами, ранее уже предпринимали некоторые атаки на США, такие как DDoS-атаки на финансовые институты, но они сократились после ядерной сделки Обамы, после которой иранские хакеры обратили свое внимание на цели в регионе Персидского залива, сказал Халквист. Но последний инцидент может заставить их снова сосредоточиться.
«Они улучшились с тех пор, как мы в последний раз видели их в США», — сказал Халквист. «Они очень сосредоточены на разрушительных возможностях очистки. Мы видели множество случаев, когда эта возможность очистки использовалась в первую очередь против компаний критической инфраструктуры».
СМ .: Иранские хакеры развернуть новое вредоносное ПО ZeroCleare, предназначенное для очистки данных
Вредоносные программы Wiper чем-то похожи на вымогателей в том, что они следуют за данными на жестком диске, но, в отличие от вымогателей, у вас мало надежды на получение информации снова ,
«Вы все еще можете нанести большой ущерб с помощью только дворников, и они сосредоточились на этом, и у них это действительно получилось. Реальный вопрос сейчас заключается в том, собираются ли они повернуть это против США или наши союзники в результате этой операции », — сказал он.
Но может случиться так, что даже если хакеры, поддерживаемые Ираном, планируют разрушительные атаки, они сосредоточатся на союзниках США в регионе Персидского залива, а не на сами США.
«Несмотря на то, что мы оцениваем, что иранские субъекты будут продолжать преследовать внутренние правительственные, военные и коммерческие структуры США для целей кибершпионажа, организации в регионе Персидского залива подвергаются наибольшему риску разрушительных кибератак», — заявила компания по кибербезопасности. Записанное будущее.
Если Иран решит активизировать свои кибер-кампании против США и их союзников, первым признаком может стать новая волна фишинговых писем и исследование критически важных инфраструктурных компаний или других целей.
«Это будет наш первый признак того, что статус-кво изменился», — сказал Халквист.
Еще одна вещь, на которую нужно обратить внимание, сказал ДеГриппо, — это то, что одна из иранских группировок, известная как APT33, провела годы разработки сложных полезных нагрузок с использованием имплантов Powershell, которые могли бы позволить им потенциально вмешиваться в критически важную инфраструктуру, такую как финансовые системы или системы промышленного контроля.
«Это основные Нечто, что мы ищем, собираются ли они начать использовать эти сложные возможности имплантатов Powershell, чтобы попасть в места, которые имеют кинетические способности или имеют физическое воздействие на реальный мир », — сказала она.
Если Иран выбирает кибер-средства для запуска своего ответа, это может означать начало новой и более мрачной главы эволюции кибервойны, по словам Ходжеса.
«В прошлом агрессивная кибер-активность использовалась для нагнетать напряженность и избегать физических военных действий, таких как конфликт между США и Ираном в Оманском заливе в прошлом году. При нынешнем конфликте мы впервые увидели кибератаки, использовавшиеся для эскалации конфликта. "
CISA предлагает ряд рекомендуемых действий, которые организации могут предпринять перед лицом потенциальных угроз:
- Отключите все ненужные порты и протоколы, просмотрите журналы устройств сетевой безопасности и определите, следует ли отключать ненужные порты и протоколы. Мониторинг общих портов и протоколов для командно-контрольной деятельности.
- Улучшите мониторинг сетевого и почтового трафика следите за новыми фишинговыми темами.
- Исправление оборудования, обращенного извне, с акцентом на исправление критических и высоких уязвимостей, которые допускают удаленное выполнение кода или отказ в обслуживании.
- Ограничьте использование PowerShell до только пользователям и учетным записям, которым это необходимо, включите подписывание кода сценариев PowerShell и включите ведение журнала всех команд PowerShell.
- Убедитесь, что резервные копии обновлены и хранятся в легко доступной форме. Местоположение, в котором находится воздушный зазор из организационной сети.
