ナッシュビル — サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)がイラン関連のサイバーアクターが「米国内で破壊的な影響をもたらそう」としていることを述べた勧告を発行した後、米国は重要インフラに対する大規模なサイバー攻撃に備えてきた。
しかし、当局者とサイバーセキュリティ専門家は金曜日、記者団に対して、より起こりやすい脅威はデジタルのショック・アンド・オー作戦ではなく、より静かなものであると述べた。つまり、日和見的な侵入であり、実際よりも大きく見えるように装われている。
ナッシュビルで開催されている現代紛争と新興の脅威に関するアシネス・サミットで、元NSA局長のティム・ハウと、長年のサイバー初動対応者で新しいAIサイバーセキュリティベンチャー、の創設者であるケビン・マンディアは、イランのサイバー作戦は新規の能力に依存するよりも、基本的なセキュリティギャップを利用し、その後その成果を増幅することに頼っていると述べた。
「現時点では、イランとイランのサイバー能力は犯罪者集団に近いと言えるでしょう」とハウは述べた。「彼らは標的を絞った機会主義的な攻撃を行い、その後、それを情報作戦に結びつけて大きく見せようとします。」
そのアプローチ — まずアクセスを得て、後でストーリーを形作る — は、当局者がこれまでに目撃したもののほとんどを定義してきた。
医療機器会社のストライカーに関する最近のインシデントを考えてみてください。これは研究者がこれまでに発見した中で最も注目を集めた報復的なサイバー攻撃です。ハッカーは数千台のデバイスを無効にしたと報告されています。ハウとマンディアは、この作戦が多くのニュースヘッドラインを獲得したが、高度なマルウェアや以前に未知だった脆弱性に依存していなかったと述べた。代わりに、それは人物から始まった。
「彼らは誰かをソーシャルエンジニアリングし、正当な認証情報を使用して基本的には影響をもたらしました」とハウは述べた。彼らは「削除する権限を持つものを削除するだけで、そのアクセスに関連した正当な機能を使用しました」。
このエピソードは広く破壊的なサイバー攻撃として説明されていたが、実際には、彼らが述べたように、それはより身近な問題を反映していた。攻撃者が正当な認証情報を使用して内部から損害をもたらしているということだ。
マンディアは、そのパターン — 高度にカスタマイズされたエクスプロイトではなく — が組織が期待すべきものであると述べた。「彼らはダークウェブから正当な認証情報を購入しました」と彼は述べた。「つまり、私が今CISOだとしたら、私はすべてのログインページ、すべてのAPI…にログインしようとするサービスを見つけており、MFAがどこでも有効になっていることを確認しています。それが彼らが侵入する方法です。それは低くて遅いのです」と彼は付け加えた。「それは犯罪要素のようなものだと主張します。」
彼とハウは両方とも、これらの作戦を実際よりも洗練されたように見せることができるタイミング要素も存在すると述べた。攻撃者は、すでに正常にクラックした標的を公開して主張し、スピードと精密性の印象を与えることが多い。
そして紛争状況では、その認識を増幅することができます。「サイバー領域は悪い隣町であり、『スパイナル・タップ』を引用するなら、彼らは今、戦争が起きているので音量を11に上げるだけです。すべてのグローブが外れます」とマンディアは述べた。
可能性の高い標的はその実用性を反映しています。重要インフラへの大規模な破壊的攻撃を試みるのではなく、イランはイスラエルまたは米国との関係を持つ特定の組織に焦点を当て、その後、侵入を情報キャンペーンと組み合わせる可能性が高い。
「カスタムウェブアプリ攻撃が行われるとは思わない」とマンディアは述べた。「ログインになると思う。本当に。それはアイデンティティセキュリティの問題になるだろう。」
たとえ緊張が緩和されたとしても、そのベースラインはシフトしそうにない。「私の意見では、ハッカーはハック、それ以上です」とマンディアは述べた。「彼らは毎日現れます。彼らは1日8〜10時間やっています。」
防御者にとって、含意は単純明白です。サイバー紛争の次の段階は新しいツールや戦術に依存しないかもしれませんが、組織が最も基本的なギャップを閉じたかどうかに依存します — 攻撃者がずっと悪用してきたもの。
翻訳元: https://therecord.media/iran-cyber-warfare-haugh
