С начала октября израильские компании сталкиваются с волной кибератак, исходящих из Ирана. По данным компании Perception Point, которая специализируется на кибербезопасности, эти атаки нацелены на крупные израильские фирмы и инфраструктурные объекты.
В начале августа системы Perception Point обнаружили массовую рассылку фишинговых писем, которые представлялись как официальные уведомления от ЦАХАЛа. Письма, озаглавленные “Предупреждение ЦАХАЛа: руководство по безопасности для граждан”, призывали пользователей скачать документ с важными инструкциями по безопасности. На самом деле, ссылки в этих письмах вели на загрузку вредоносного приложения для удаленного управления устройством.
После установки этого приложения, злоумышленники могли получить полный контроль над устройством и проникнуть в корпоративные сети, что представляло серьёзную угрозу для безопасности данных и инфраструктуры. “Цели злоумышленников могли включать вымогательство, компрометацию израильских компаний или даже более серьёзные действия, такие как уничтожение данных и нанесение физического вреда”, — объяснил Таль Замир, технический директор Perception Point.
Замир заявил, что в данной атаке использовались несколько сложных тактик уклонения, включая размещение приложения на легитимной хостинговой службе и цифровую подпись от авторитетного ИТ-поставщика, что помогало обходить многие традиционные методы защиты.
“Мы не можем раскрыть имена организаций, так как они являются нашими клиентами, и мы обязаны сохранять их конфиденциальность, но могу сказать, что некоторые из них – крупные израильские инфраструктурные компании. Наша система автоматически блокировала все эти вредоносные письма до их попадания в почтовые ящики пользователей, поэтому, насколько нам известно, ни одна из организаций, которую мы защищаем, не пострадала от этой атаки”, – подчеркнул Замир.
Специалисты Perception Point подозревают, что за этими атаками стоит кибершпионская группа, связанная с Министерством разведки и безопасности Ирана (MOIS), известная как MuddyWater. Эта группа ранее нацеливалась на частные организации по всему Ближнему Востоку, используя аналогичные методы.
Присоединяйтесь к нашему телеграм-каналуЗамир также отметил всплеск фишинговых кампаний с 7 октября. Один из примеров – атака группы “Handala”, связанной с ХАМАС, которая распространяла вредоносное ПО через электронные письма, угрожая израильской инфраструктуре. “В этом случае письмо было полностью на иврите и требовало от ИТ-администраторов установки нового обновления для серверов”, – добавил он.
Perception Point использует передовые технологии, разработанные за последние семь лет, для обнаружения высоко уклоняющегося вредоносного ПО, социальной инженерии, фишинга и других угроз. Компания также пионер в защите от кибератак с использованием QR-кодов, многоступенчатого фишинга и социальной инженерии с помощью ИИ и семантического анализа содержимого электронной почты.
Вопросы безопасности в киберпространстве становятся всё более актуальными на фоне продолжающихся конфликтов. Замир советует пользователям по всему миру быть бдительными и принимать меры для защиты от фишинговых атак.
Вот несколько рекомендаций от Замира:
1) Проверяйте домены отправителей
Убедитесь, что электронные письма приходят с правильных доменов. Например, фальшивое письмо от ЦАХАЛа может приходить с адреса, не относящегося к официальному домену ЦАХАЛа. “Всегда проверяйте домены отправителей и ссылки в электронных письмах. Например, фальшивое письмо от ЦАХАЛа пришло с адреса IDFAlert@miraclecenter.org. Очевидно, что ‘miracle center’ не является официальным доменом ЦАХАЛа. Официальные сообщения должны приходить с правильного домена организации. Также будьте внимательны к незначительным изменениям в доменах, таким как ‘1df’ вместо ‘idf’.
2) Не открывайте ссылки из неизвестных источников
“Избегайте открытия документов или посещения сайтов из подозрительных источников и никогда не вводите свой пароль или одноразовый код на сайтах от сомнительных отправителей.”
3) Проверяйте информацию напрямую у отправителя
“Если письмо просит вас позвонить по номеру или посетить сайт поставщика через предоставленную ссылку, самостоятельно проверьте контактные данные на официальном сайте или используйте известные контактные данные. Ссылки и номера в письмах могут быть поддельными и вести на сайты или телефонные линии, которые контролируются злоумышленниками”, – подчеркнул он
4) Обязательно сообщайте о подозрительных письмах
“Если у вас возникают сомнения, незамедлительно информируйте своего специалиста по безопасности или ИТ-отдел о подозрительных письмах. Воспользуйтесь встроенными функциями для сообщения о фишинге, которые доступны в обычных почтовых клиентах, таких как Gmail и Outlook”, – добавил Замир.
В условиях текущих конфликтов в Израиле особенно важно быть особенно бдительными.