In den letzten zehn Jahren haben sich Cyberoperationen mit geopolitischen Konflikten verflochten. In den jüngsten asymmetrischen Kampagnen haben staatlich gesponserte Bedrohungsgruppen kritische Infrastrukturen angegriffen, Systeme gestört, Informationen als Geiseln genommen und Staatsgeheimnisse als Form der Kriegsführung gestohlen.
In jüngster Zeit haben die eskalierenden Spannungen zwischen der Islamischen Republik Iran und den Vereinigten Staaten von Amerika das Potenzial für einen Vergeltungs-Cyberangriff erhöht. Die TTPs der iranischen Bedrohungsgruppe haben sich dahingehend weiterentwickelt, dass sie die Zerstörung als Vergeltungstaktik einsetzen und sich auf kritische Infrastrukturen wie das Stromnetz, die Öl- und Gasversorgung und die Kommunikationsnetze konzentrieren.
Dies hat kürzlich zu einer Empfehlung der US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) geführt. Darin wird zu erhöhter Bereitschaft aufgerufen und gewarnt, dass:
Vor allem iranische Bedrohungsgruppen haben fortschrittliche Wiper-Malware entwickelt, eine Klasse von Malware, die die Festplatte des infizierten Computers löscht, und in den letzten zehn Jahren ihre Bereitschaft gezeigt, diese gegen regionale Gegner im Energiesektor einzusetzen. Das Ergebnis war eine groß angelegte Zerstörung von Computersystemen, darunter mehr als 30.000 beim Shamoon-Malware-Angriff im Jahr 2012.
Bisher konzentrierten sich die iranischen Angriffe auf Energie- und Regierungsziele, die sich physisch in Saudi-Arabien befinden. Dies ist jedoch auf den Umfang der Mission und nicht auf die technischen Fähigkeiten zurückzuführen. Sollten diese Fähigkeiten im Rahmen einer Cyber-Kampagne erfolgreich gegen eine breitere Gruppe von Einrichtungen eingesetzt werden, könnten die Auswirkungen erheblich sein.
Die neueste Wiper-Malware, die dem Iran zugeschrieben wird, ist ZeroCleare, die im Dezember 2019 von IBM identifiziert und untersucht wurde. In der aktiven Phase eines ZeroCleare-Angriffs wird die Wiper-Malware von Domänencontrollern aus über Powershell / WMI mit den Anmeldeinformationen eines Domänenadministrators auf alle Systeme in der Domäne verbreitet. Die Malware verwendet dann das EldoS Rawdisk-Toolkit, um den Master Boot Record (MBR) und Festplattenpartitionen auf Windows-basierten Computern zu überschreiben.
Diese Malware verbreitet sich schnell und vollständig, da die Kompromittierung des Domänencontrollers und der Domänenadministrator-Anmeldeinformationen den Zugriff auf alle Entitäten in der gesamten Infrastruktur ermöglicht. Das Ergebnis ist eine ausgeprägte und lang anhaltende Auswirkung, da das System nicht wiederhergestellt werden kann, sobald der MBR zerstört ist. Da es außerdem keinen Exploit gibt, der gepatcht werden kann, lässt sich das Fortschreiten nicht verlangsamen.
Für Sicherheitsteams, die sich gegen diese TTPs zur Wehr setzen müssen, ist Schnelligkeit von entscheidender Bedeutung. Es ist entscheidend, dass der Angriff erkannt und abgewehrt wird, bevor der Domain Admin auf dem Domain Controller erreicht wird.
Die gute Nachricht ist, dass Vectra Cognito die Anfangsphasen des Angriffs abdeckt, da sich dieser Angriff ähnlich verhält wie andere auf Anmeldeinformationen basierende Angriffe, die versuchen, eine privilegierte Zugriffsebene zu erreichen. Eine Zusammenfassung des Einblicks in diese Verhaltensweisen ist in Tabelle 1 zu finden.
Hinweis: Achten Sie besonders auf Erkennungen von Privilegienanomalien oder verdächtigen Remote-Ausführungen, die auf einen Domänencontroller oder - schlimmer noch - zwischen Domänencontrollern abzielen, da diese in den späteren Phasen des Angriffs (vor dem Löschen) zu erwarten sind.
In Verbindung mit den Empfehlungen im Advisory empfehlen wir Ihren Sicherheitsteams, diesen Angriffsverhaltensweisen in Ihrer Cognito-Bereitstellung besondere Aufmerksamkeit zu schenken.
Wir werden diesen Beitrag weiter aktualisieren, sobald wir mehr Informationen erhalten.