Значительный поток фишинговых атак на крупные израильские компании показывает, что нападения Ирана на Израиль не ограничиваются полем боя, а, скорее, включают в себя бесконечные попытки нанесения вреда и в киберпространстве.
4 августа системы Perception Point (Perception-point.io), фирмы по кибербезопасности, целью которой является защита рабочих мест пользователей от различных атак, осуществляемых через электронную почту и другие приложения, обнаружили вредоносную кампанию по электронной почте, нацеленную на тысячи сотрудников в десятках компаний.
В электронном письме под названием «Предупреждение ЦАХАЛа: Рекомендации по обеспечению безопасности граждан» ложно утверждалось, что оно содержит важнейшие рекомендации по безопасности во время продолжающейся войны, и содержался призыв к получателям загрузить официальный документ. Пользователи, перешедшие по ссылке в электронном письме, были перенаправлены на загрузку предварительно настроенного приложения для удаленного управления, что позволило злоумышленникам получить полный контроль над устройством и потенциально заразить другие устройства в сети компании.
«Цели злоумышленников могли включать вымогательство, поставить в неловкое положение израильские компании или более серьезные действия, такие как компрометация критической инфраструктуры, уничтожение данных компьютеров и даже причинение физического вреда, — объяснил Таль Замир, технический директор Perception Point. - Следует отметить, что в этой попытке использовалось несколько сложных тактик уклонения, в том числе размещение приложения удаленного управления на законном хостинге, который часто фигурирует в списке разрешенных организаций, а также наличие надлежащей цифровой подписи законного поставщика ИТ-программ в обход многих традиционные меры защиты».
По его словам, «мы не можем назвать имена конкретных организаций, потому что они наши клиенты и мы сохраняем их конфиденциальность, но могу сказать, что некоторые из них являются крупными израильскими инфраструктурными компаниями. Наша система автоматически блокировала все эти вредоносные электронные письма до того, как они достигли почтовых ящиков пользователей, поэтому, насколько нам известно, ни одна из организаций, которые мы защищаем, не пострадала от этой атаки».
Замир подозревает, что попытки нападения были предприняты Ираном. «Исходя из времени, темы атаки и конкретного использованного приложения удаленного управления, мы подозреваем, что злоумышленником является группа кибершпионажа, связанная с министерством разведки и безопасности Ирана (MOIS), — пояснил он. - Эта конкретная группа, известная в сообществе безопасности как MuddyWater, ранее атаковала частные организации по всему Ближнему Востоку и использовала одного и того же агента для удаленного управления системой и горизонтального перемещения».
Замир рассказал, что Perception Point заметил всплеск кампаний по электронной почте, направленных против израильских компаний, с 7 октября. Одним из примеров была атака в поддержку ХАМАСа со стороны группы «Handala», которая доставила вредоносное ПО Wiper для серверов Windows и Linux через рассылку по электронной почте, подвергая риску израильскую инфраструктуру. . «В этом случае электронное письмо было полностью на иврите и сосредоточено на том, чтобы потребовать от ИТ-администраторов развернуть новое обновление программного обеспечения для своих серверов», — уточнил он.
Основная технология Perception Point, разработанная собственными силами за последние семь лет, направлена на обеспечение возможностей обнаружения скрытых вредоносных программ, социальной инженерии, фишинга и других угроз.
«Наша система ранее обнаруживала многочисленные уязвимости нулевого дня, эксплойты, захваты учетных записей и продвинутые уклончивые фишинговые атаки и атаки с использованием программ-вымогателей», — сказал Замир, добавив, что компания стала пионером в области защиты от кишинга (QR-фишинга), многоэтапных фишинговых атак и социальных сетей, инженерной защиты посредством искусственного интеллекта и семантического понимания содержимого электронной почты.
На вопрос, какие советы он может дать пользователям по всему миру, чтобы обезопасить себя от подобных атак, Замир ответил: «В первую очередь всегда смотрите на домен отправителей, а также на домены в ссылках электронной почты. Например, фальшивое «электронное письмо с оповещением» ЦАХАЛа пришло с адреса IDFAlert @miraclecenter.org. Излишне говорить, что «чудо-центр» не является официальным доменом ЦАХАЛа. Официальные сообщения должны исходить из надлежащего домена организации. Кроме того, следите за небольшими изменениями домена, например «1df» вместо «idf». А во-вторых, не открывайте ссылки из неизвестных источников: избегайте открытия документов или веб-сайтов из подозрительных источников и никогда не вводите свой пароль или одноразовый код на веб-сайтах от сомнительных отправителей».
Замир добавил: «в-третьих, проверьте непосредственно отправителя: если в электронном письме вас просят позвонить по номеру или посетить веб-сайт поставщика по предоставленной ссылке, самостоятельно проверьте контактную информацию, перейдя на официальный сайт или используя известные контактные данные. Ссылки и номера в электронных письмах могут быть поддельными и вести на контролируемые злоумышленниками сайты или телефонные линии», — заявил эксперт по кибербезопасности. И, наконец, обязательно сообщайте о подозрительных электронных письмах: если у вас есть сомнения, сообщите о подозрительных электронных письмах своему администратору службы безопасности или ИТ-администратору. Используйте встроенные инструменты отчетности о фишинге в стандартных почтовых клиентах, таких как Gmail и Outlook. Учитывая текущую военную ситуацию в Израиле, крайне важно проявлять особую бдительность в отношении входящих сообщений».