Американское подразделение кибербезопасности (Cybersecurity and Infrastructure Security Agency, CISA), относящееся к Министерству внутренней безопасности США, предупредило об усилении активности со стороны иранских хакеров и призвало американские компании принять защитные меры.
По информации CBS News, предупреждение было выпущено после эскалации напряжения в отношениях между США и Ираном, во время которой иранские хакеры усилили атаки против американских компаний.
Специалисты CISA предупредили, что на вооружении иранских хакеров чаще всего состоят следующие методы и способы компрометации и атак:
- целевой фишинг во всех его проявлениях;
- credential stuffing — этим термином обозначают ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются против других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв;
- password spraying — атака, во время которой, различные имена пользователей перебирают и пытаются использовать с одним и тем же паролем (например 123456 или qwerty), надеясь обнаружить плохо защищенную учетную запись;
- вайперы (wiper) — малварь, ориентированная не просто на кражу данных, но их целенаправленное уничтожение и саботаж.
Нужно заметить, что иранские APT действительно давно применяют вайперы в своих кампаниях. К примеру, малварь Shamoon была обнаружена впервые еще в 2012 году и впоследствии использовалась для атак против крупных нефтегазовых компаний (Aramco, RasGas). В 2016 и 2018 годах вредонос по-прежнему был активен и использовался для атак на нефтегазовые предприятия в Италии и на Ближнем Востоке.
