Иранские хакеры продают доступ к критически важной инфраструктуре: кибератаки угрожают миру

Иранские хакеры взламывают организации, относящиеся к критически важной инфраструктуре, и продают доступ на киберпреступных форумах, открывая возможности для атак другим угрозным актерам. Об этом сообщается в новом совместном предупреждении от агентств США, Канады и Австралии, включая CISA, ФБР и Австралийский центр кибербезопасности.

Хакеры используют методы взлома паролей и «бомбардировку» запросами на многофакторную аутентификацию, чтобы получить доступ к учетным записям в таких секторах, как здравоохранение, ИТ и энергетика. Получив доступ, они регистрируют свои устройства в системах MFA организаций, что позволяет им удерживать контроль и распространяться по сети.

Сообщается также, что хакеры используют утилиты для получения учетных данных Active Directory, а также эксплуатируют уязвимости, такие как Zerologon, чтобы повысить свои привилегии в сети. В одном из выявленных случаев они даже использовали инструмент для сброса паролей, чтобы зарегистрировать свое устройство и продолжать атаковать.

Специалисты советуют компаниям проверять журналы аутентификации на предмет подозрительных действий, отслеживать необычные регистрации в системах MFA и искать признаки активности, не характерной для нормальных пользователей. В предупреждении также содержится ряд мер, которые помогут улучшить защиту от таких атак.