Sommario
Recentemente, le agenzie di sicurezza statunitensi CISA, FBI, NSA e partner internazionali hanno rilasciato un importante avviso riguardo agli attacchi informatici condotti da attori statali iraniani. Questi cyber-attori, attivi dall’ottobre 2023, hanno preso di mira diverse organizzazioni appartenenti a settori critici, tra cui sanità, governi, IT ed energia. Gli attacchi sono stati condotti utilizzando tecniche di brute force e password spraying, puntando a compromettere credenziali di accesso di utenti chiave all’interno delle reti bersaglio.
Gli aggressori hanno dimostrato un alto livello di sofisticazione, impiegando vari metodi per ottenere accesso permanente alle infrastrutture critiche e utilizzando tali accessi per rivendere le credenziali ottenute ad altri gruppi criminali. Questa nuova ondata di attacchi rappresenta una minaccia seria alla sicurezza nazionale e internazionale, sollevando l’attenzione di governi e organizzazioni private a livello globale.
Tecniche di attacco: brute force e password spraying
Le modalità operative degli attacchi sono ben definite. I cyber-attori iraniani hanno utilizzato metodi come il brute force, un processo automatizzato che tenta numerose combinazioni di password fino a trovare quella corretta. In aggiunta, è stato ampiamente impiegato il password spraying, una tecnica in cui gli attaccanti provano password comuni su un numero elevato di account, sfruttando password deboli e facilmente prevedibili.
Uno degli aspetti più pericolosi di questi attacchi è l’utilizzo della MFA (Multi-Factor Authentication) push bombing. Questo metodo sfrutta le notifiche di autenticazione a due fattori inviando richieste continue al dispositivo della vittima fino a quando non accetta per errore una delle richieste, concedendo così l’accesso ai malintenzionati. Gli attaccanti sono poi riusciti a manipolare l’autenticazione multi-fattore, registrando i loro dispositivi per assicurarsi accessi futuri.
Compromissione e persistenza nelle reti
Una volta ottenuto l’accesso iniziale tramite brute force o password spraying, gli attori iraniani hanno eseguito attacchi di ricognizione nelle reti compromesse. Queste operazioni hanno consentito di ottenere ulteriori credenziali e scoprire punti deboli che potevano essere sfruttati per mantenere l’accesso a lungo termine. Gli attacchi non si limitano alla sola compromissione di accessi ma includono movimenti laterali all’interno della rete per ottenere un controllo più ampio e, in alcuni casi, ottenere informazioni riservate.
Gli attaccanti utilizzano frequentemente servizi VPN per camuffare le loro attività, rendendo più difficile il tracciamento delle azioni malevole e l’identificazione delle fonti degli attacchi. Questo modus operandi rende gli attacchi più insidiosi, complicando la risposta immediata da parte delle difese informatiche.
Misure di mitigazione consigliate
Le autorità hanno rilasciato una serie di raccomandazioni per aiutare le organizzazioni a migliorare la loro postura di sicurezza e proteggersi da questi attacchi. Le misure preventive includono l’utilizzo di password complesse e l’adozione dell’autenticazione multi-fattore resistente agli attacchi di phishing. Le organizzazioni sono incoraggiate a monitorare attentamente i log di autenticazione per rilevare accessi sospetti, in particolare quelli da località geografiche non coerenti con l’attività abituale dell’utente.
Inoltre, è importante implementare controlli di sicurezza avanzati che possano rilevare anomalie nei tentativi di login e proteggere l’accesso alle infrastrutture critiche. L’uso di soluzioni di cybersecurity proattive, combinate con una costante formazione del personale, può ridurre in modo significativo il rischio di compromissione.
