下記によって:トムGorup及びアンドリュージョンソン
イスラエル/ハマス戦争が始まって以来、サイバー攻撃の頻度が急激に増加していることにお気づきでしょう。 サイトの改ざんからDDoS攻撃、世界中のハクティビストからのデータ窃盗まで、あらゆるものが急増してい ます。 彼らが越えようとしない国境や境界はありませんでした。
エルサレム・ポストのような公共性の高いサイトへの攻撃がニュースの見出しになっていますが、注目すべき 傾向として、目に見えないターゲットに対する1対多のサイト改ざんがあります。 「1対多」とは、1つのリソースを標的とし、多くのウェブサイトを侵害する攻撃です。 これまでに見た攻撃の多くは、中東紛争の利益に結びついていると主張しており、単一IPの背後にあります。 このことから、これらの攻撃者(TA)の多くが、単一の脆弱なリソースまたはアプリケーションにアクセスして、そのプロキシまたはサーバーの背後にあるサイトを操作できるという仮説が導かれました。 このパターンに従う攻撃の大部分は、ホスティングプロバイダーを利用しています。 私達は、これらの日和見的な攻撃を考慮し、結果的に潜在的な標的のリストから誰も取り除かない、インターネットが彼らの標的である。
過去2週間にわたって、ハッカーフォーラム全体で公開されているサイトの改ざんを分析してきましたが、予想外で興味深いことがわかりました。 たとえば、過去2週間にハクティビストによって報告された4,069サイトの改ざん攻撃のうち、3,480固有のドメインが標的にされていることがわかりましたが、1,426固有のIPアドレスのみが対象となっていました。 さらに一歩進んでみると、同じターゲットリストに関連付けられている271 Unique ASN(自律システム番号)だけが見つかりました。
これらの統計は、これらのハクティビストが狙っているターゲットの種類を物語っています。 あなた自身の場所が危険にあるかどうかまだ疑問に思ったら…よくそれはある! 人身売買の少ないサイトは、この戦争に巻き込まれるには小さすぎると思われるかもしれませんが、実際には、攻撃者がハクティビズムの名の下に誰かのサイトにフラグを掲示する機会をすべて利用しています。 個々のTAの動機について話すことはできませんが、成功を祝うために待っている人々でいっぱいの部屋に投稿するときに、信用を獲得し、誇りを刺激したいという願望がある可能性があります。 仮説を説明するためにいくつかの例を見ていきましょう。
脅威アクター:SanRei
この例では、SanReiという名前のTAを見てみましょう。 この担当者は、23固有のIPアドレスと15 ASN全体にわたる69固有のドメインをターゲットにしました。 SanReiのターゲットの72%は、単一のホスティングプロバイダーのASN内にあります。
さらに、9つのドメインを分析した結果、いくつかのサイトには同じテキスト/コピーが含まれていますが、グラフィック、ページレイアウト、テーマが異なります。 サイトは確かに関連しているようです。 TAがサイトを作成し、制御したかどうかは、後に電報チャンネルで汚し、自慢したことを証明するのは難しいですが、確かに強い可能性です。
同じIPでホストされている非常に類似したコンテンツを持つウェブサイトは、後にSanRaiによって改ざんされたと主張された。
脅威アクター:./brilliant
次に、その名前で行われるTAの作業を調べます。/brilliantでは、この個々のターゲット1,112固有のドメインが、229固有のIPアドレスと61 ASNにまたがって見つかりました。 ./brilliantターゲットドメインの70%はガジャマダ大学のASN内にあります。 ./brilliantは、*.web.ugm.ac.id上の複数のブログをホストする単一のアプリ内に脆弱性を発見した可能性があります。
額面価格では、. / brilliantは700以上のウェブサイトを侵害したように見えますが、実際には、1つをポップして、そのアクセスを活用して多くの個々のブログを操作しています。 1対多の妥協が成功しました
脅威アクタ:AnonCyber504_ID
これらのハクティビストは、偽のWebサイトやブログをターゲットにしただけでなく、合法的なビジネスWebサイトもターゲットのリストに含まれています。 脅威アクターAnonCyber504_IDは、37固有のIPアドレスと16 ASN全体の60固有のドメインをターゲットにしました。 AnonCyber504のターゲットの46%は、1つのホスティングプロバイダーのASN内にあり、その多くは正当なビジネスに属しているようです。
私たちが調査した改ざんされたサイトはどれもフォーチュン500の企業に属していませんが、ここでのポイントは、ハクティビストやその他のTAが、大規模であろうと小規模であろうと、政府または民間企業であろうと、サイトを無差別にターゲットにしているよう
結論
これらのほとんどは以前に聞いたことがあると思いますが、1対多のハクティビスト攻撃からウェブサイトを保護するにはどうすればよいでしょうか。
多要素認証
これを推奨事項のリストに表示するのに飽きていませんか? 「言うのに飽きたら、人々はそれを聞き始めている」ということわざがあります。 その場合は、Webリソースと管理パネルにアクセスできるすべてのアカウントにMFAが適用されていることを確認してください。
エンドポイント保護
エンドポイント保護のロールアウトプロジェクトが6か月前に停止している可能性があります。 スピンアップして、優先順位を付ける時が来ました。 これは、将来的にセキュリティワークロードを削減するのに大いに役立ちます。
パッチ管理
パッチの適用は感謝の念を抱かない作業であり、永久に実行されますが、非常に必要です。 これらの1対多攻撃はどのように行われていると思いますか? 良いプログラムを構築するために時間をかけてください、あなたは長期的に自分自身に感謝するでしょう。
WebアプリケーションとAPIの保護
前述したように、パッチ適用は困難ですが、優れたWeb Application Firewall(WAF)を活用すると、特にDDoS防御機能が組み込まれたクラウド配信のファイアウォール、APIセキュリティ、 ボット管理では、脆弱性が発見されてからパッチが展開されるまでの間、仮想パッチなどの機能を使用して保護を維持できるため、より簡単に作業を進めることができます。
すべてのサイトを保護する
ほとんどの成熟した組織はこれらの保護策を多く導入していますが、最近のハクティビストによる活動では、「宝石」のサイトだけでなく、すべてのウェブ資産を保護することの重要性が強調されています。
ユーザー教育
このフレーズは非常に多くの吐き気を引き起こしますが、私たちはそれが完全に過小評価されていると考えています。 これらの1対多のセキュリティ侵害の大部分がフィッシング攻撃から始まっても、驚くことではありません。 時間をかけて、これらすべてのセキュリティ制御が必要な理由をチームに理解してもらいます。 ここで重要なのは、タイムリーで関連性があり、魅力的であることを確認することです。 魅力的にするのに苦労していますか? 私たちのチームには、役立つアイデアがたくさんあります。