Wat zijn de cybergevolgen van het Midden-Oosten conflict
De Amerikaanse en Israëlische aanvallen op Iraanse doelen en de daaropvolgende vergeldingsacties hebben zorgen gewekt over mogelijke cyberaanvallen. Bedrijven vragen zich af of er een gecoördineerde Iraanse cyberreactie op komst is.
Op dit moment zijn er beperkte aanwijzingen voor directe, grootschalige Iraanse cyberoperaties in verband met de aanvallen. FortiGuard Labs (het onderzoeklab van Fortinet) constateert wel dat er een aanzienlijke toename is van cyberactiviteit in de regio, waaronder hacktivisme door onafhankelijke groeperingen, hergebruikte claims, die blijven circuleren terwijl de oorspronkelijke data niet meer actueel is. Dat maakt het moeilijker om echte trends te onderscheiden van ruis. Daarnaast werden er vreemde wijzigingen aan websites waargenomen, evenals onderbrekingen van media-uitzendingen met misleidende berichten en pogingen om beveiligingslekken te misbruiken.
Dat er momenteel geen bevestigd bewijs is van grootschalige vergeldingscyberaanvallen vanuit Iran wil niet zeggen dat dergelijke activiteiten niet opduiken. In het verleden vonden Iraanse cyberreacties ook niet altijd onmiddellijk plaats na een dreiging. Hackers die banden hebben met Iran hebben in het verleden gewacht met handelen, vaak om toegang tot systemen te krijgen en aanvallen uit te voeren wanneer de aanvankelijke waakzaamheid afnam.
De meer urgente trend: misbruik maken van de onrust
Wanneer conflicten verergeren, ontstaat er veel verwarring en maken aanvallers, zelfs degenen die niet direct betrokken zijn, vaak gebruik van de onrust voor hun eigen voordeel. Dit doen zij door valse e-mails over breaking news, valse waarschuwingen of valse beveiligingsupdates.
Aanvallen om voor te waken
Op basis van eerdere Iraanse campagnes moeten organisaties zich voorbereiden op tactieken die effectief zijn gebleken, waaronder:
· Wiper-malware gericht op overheids- of energiesectoren.
· Gedistribueerde denial-of-service-campagnes tegen financiële instellingen.
· Het verzamelen van inloggegevens rond conflict-gerelateerde updates.
· Vervalste updates van mobiele apps of valse software-installatieprogramma’s.
· Vandalisme van websites met als doel media-aandacht te genereren.
FortiGuard Labs nam een veelzeggende aanval waar op de kalenderapp BadeSaba waar. De recente valse pushmeldingen betekenen dat aanvallers toegang hebben gekregen tot het systeem, wat tijd kost. Dit wijst erop dat ze hebben ingebroken of dingen van tevoren hebben voorbereid. Zelfs zonder te weten wie dit heeft gedaan, is deze methode (het systeem hacken, dan wachten, en vervolgens handelen) nu heel gebruikelijk.
Wat organisaties nu moeten doen
Geopolitiek bewustzijn: begrijp wie er aanvalt, met welke middelen en waarom. Blijf op de hoogte via de Information Sharing and Analysis Centers (ISAC’s) die informatie over cyberdreigingen delen.
Geef prioriteit aan cybersecuritytraining: met de juiste training kunnen medewerkers de organisatie beter beschermen en de eerste verdedigingslinie vormen tegen cyberdreigingen.
Schakel multifactor authenticatie (MFA) in op VPN, externe toegang en SaaS-applicaties. Zelfs als een gebruikersnaam of wachtwoord gecompromitteerd is, blijft de algehele beveiliging gewaarborgd.
Zorg voor goede cyberhygiëne. Patch kwetsbaarheden onmiddellijk om misbruik te voorkomen en houd software, besturingssystemen en applicaties up-to-date met de nieuwste beveiligingspatches.
Gebruik sterke wachtwoordbeveiliging: Gebruik tools voor wachtwoordbeheer en MFA die ervoor zorgen dat wachtwoorden voldoen aan essentiële richtlijnen.
Begrijp en verklein het aanvalsoppervlak: begin met het controleren van de systemen om alle applicaties, hardware en IoT-apparaten te identificeren, inclusief die buiten de organisatie. Een extern perspectief kan helpen bij het identificeren van risico’s en toegangspunten.
Bouw een diepgaande verdediging op: ga ervan uit dat er op een gegeven moment een inbreuk zal plaatsvinden en bouw op elk niveau weerbaarheid en snelle detectiemogelijkheden in.
Maak een back-up van de gegevens: maak regelmatig een back-up van kritieke gegevens op veilige, geïsoleerde locaties en test het herstel de organisatie na een aanval snel weer operationeel is.
Test en update het incidentresponsplan: Voer oefeningen uit om ervoor te zorgen dat iedereen voorbereid is om effectief te reageren op een reeks cyberdreigingen.
Bouw vertrouwen en partnerschappen op: CISO’s en IT-teams moeten erkennen dat cyberbeveiliging een gedeelde verantwoordelijkheid is. Het opbouwen van wereldwijde partnerschappen en het actief delen van informatie over bedreigingen zijn cruciaal voor een sterke beveiligingshouding.
Meld incidenten onmiddellijk: Tijdige rapportage is essentieel. Organisaties moeten bij een cyberincident onmiddellijk hun aangewezen Computer Security Incident Response Team (CSIRT) en eventueel de NCSC en/of de Autoriteit Persoonsgegevens op de hoogte brengen.
Conclusie
Onze observaties wijzen erop dat er momenteel geen bevestigde grootschalige Iraanse cybervergelding is die rechtstreeks verband houdt met de recente aanvallen. FortiGuard Labs heeft echter een toename van regionale cyberactiviteit en een meetbare stijging van opportunistisch gedrag waargenomen. In conflicten als deze is de eerste golf vaak slechts ruis. Als er een tweede golf komt, kan die stiller, beter gecoördineerd en gerichter zijn, dus het is van cruciaal belang om daarop voorbereid te zijn.
Organisaties die deze eerste periode gebruiken om hun cyberhygiëne te versterken, sterke authenticatie en MFA af te dwingen en hun blootstelling te verminderen, zullen beter gepositioneerd zijn, ongeacht hoe de gebeurtenissen zich ontwikkelen. FortiGuard Labs blijft de ontwikkelingen volgen en zal updates verstrekken naarmate er informatie wordt verzameld en gevalideerd.
OPMERKING: De situatie in het Midden-Oosten blijft onzeker. Rapportages, toeschrijvingen en operationele details kunnen snel veranderen naarmate nieuwe informatie wordt verzameld en gevalideerd. FortiGuard Labs blijft de ontwikkelingen volgen en zal updates verstrekken naarmate de omstandigheden veranderen, inclusief activiteiten waarbij Iraanse bedreigingsactoren betrokken zijn, via de FortiGuard Labs Threat Actor Encyclopedia
