UNC1549 cilja vazduhoplovstvo i odbrambene sisteme

AUTOR ·

UNC1549 je grupa zlonamjernih aktera povezana sa Iranom, čije nove taktike značajno mijenjaju pejzaž prijetnji. Istraživanje kompanije Mandiant pokazuje da su njihove aktivnosti trenutno usmjerene ka vazduhoplovstvu i odbrambenoj industriji na Bliskom istoku. Napadi su naročito fokusirani na tehnološke podatke, intelektualnu svojinu i interne komunikacije unutar sistema ciljanih organizacija.

UNC1549

UNC1549 cilja vazduhoplovstvo i odbrambene sisteme; Source: Bing Image Creator

UNC1549 KAMPANJA

Grupa zlonamjernih aktera UNC1549 predvodila je napredne sajber operacije usmjerene na vazduhoplovne i odbrambene organizacije širom Bliskog istoka, ali i van njegovih granica. Nedavni izvještaj kompanije Mandiant naglašava kako su se njihove taktike, tehnike i procedure razvijale tokom vremena, posebno kroz upotrebu prilagođenog zlonamjernog softvera osmišljenog da obezbijedi dugotrajan pristup i izbjegne otkrivanje.

UNC1549 se često oslanja na pouzdane dobavljače i partnere trećih strana kako bi se infiltrirala u visoko obezbijeđena odbrambena okruženja. Na taj način uspijevaju da neprimjetno uđu u glavne korporativne mreže, koristeći slabosti u zaštiti dobavljača. Pored toga, akteri sprovode operacije ciljanog pecanja (eng. spear phishing), oslanjajući se na lažne ponude za zapošljavanje i elektronske poruke koje oponašaju interne zahtjeve za resetovanje lozinke. Ovakve poruke često nastaju nakon izviđanja unutar već kompromitovanih prijemnih sandučića.

Dodatno, grupa koristi servere za komandovanje i kontrolu (C2) smještene u oblaku, čime uspijeva da zlonamjerni saobraćaj uklopi sa legitimnim poslovnim aktivnostima. Time se značajno otežava njegovo otkrivanje. Ovakav pristup pokazuje prilagodljivost UNC1549 i spremnost da stalno mijenja svoje metode kako bi ostala korak ispred bezbjednosnih mjera.

 

Taktike dvostrukog pristupa

Grupa UNC1549 u ovim kampanjama koristi dvostruki pristup kojim narušava okruženja sa visokim nivoom bezbjednosti. Njihove operacije zasnivaju se na kombinaciji ciljanog pecanja i iskorištavanja odnosa sa pouzdanim trećim stranama, čime otvaraju više puteva za početni ulazak i bočno kretanje unutar mreže.

U okviru ciljanog pecanja koriste lažne ponude za zapošljavanje i poruke koje oponašaju interne zahtjeve za resetovanje lozinke. Ovakve poruke nastaju nakon izviđanja naloga elektronske pošte, što im omogućava da precizno prate komunikacione obrasce organizacije. Na taj način ciljaju zaposlene uključene u proces zapošljavanja ili IT administratore, dolazeći do osjetljivih podataka i privilegovanih pristupa. Dodatnu prednost im daje upotreba certifikata kôda, jer time otežavaju otkrivanje i zaobilaze bezbjednosne mehanizme.

Istovremeno, grupa koristi slabosti u odnosima sa trećim stranama – dobavljačima i izvođačima radova – koje organizacije često smatraju niskorizičnim. Napadajući manje zaštićene partnere, UNC1549 uspijeva da zaobiđe primarne odbrambene mjere i dođe do osjetljivih sistema. Zloupotreba servisa poput Citrixa, VMWarea i Azure Virtual Desktopa dodatno otežava odbranu, jer ovi servisi stvaraju sloj apstrakcije koji prikriva zlonamjerne aktivnosti.

Ovakav dvostruki pristup, zasnovan na ciljanom pecanju i iskorištavanju trećih strana, pokazuje sposobnost UNC1549 grupe da se prilagodi različitim bezbjednosnim okruženjima. Time povećavaju uspješnost svojih operacija i stavljaju branioce u poziciju da se suočavaju sa prijetnjama koje je teško uočiti i pravovremeno neutralisati.

 

Prilagođeni alati

Primijećeno je da UNC1549 koristi niz prilagođenih alata osmišljenih za prikrivenost, dugoročni pristup i krađu podataka. Njihova glavna svrha jeste da izbjegnu otkrivanje od strane tradicionalnih bezbjednosnih kontrola i da grupi omoguće visok nivo fleksibilnosti i prilagodljivosti u operacijama.

Jedan od takvih alata je MINIBIKE, koji se koristi za uspostavljanje tajnog pristupa (eng. backdoor) unutar ciljanih sistema. On omogućava operaterima da zadrže dugoročni prolaz do osjetljivih područja bez izazivanja sumnje ili pokretanja upozorenja. Sličnu ulogu ima i TWOSTROKE, alat namijenjen krađi podataka, kojim grupa izvlači osjetljive informacije iz ciljanih mreža i sistema.

Za dublje infiltracije koristi se DEEPROOT, napredni alat koji operaterima daje mogućnost da zaobiđu standardne bezbjednosne kontrole i dobiju neograničen pristup bez aktiviranja alarma. Na sličan način djeluje i LIGHTRAIL, koji održava prikrivene operacije i omogućava tajni pristup kroz ciljani sistem. Pored njih, GHOSTLINE i POLLBLEND služe za kombinaciju krađe podataka i uspostavljanje dugoročnog prisustva u kompromitovanim okruženjima.

Posebno se izdvaja Atelier Web Remote Commander (AWRC), alat za daljinski pristup i kontrolu sistema. Njegova upotreba omogućava operaterima da uspostave duboke veze sa žrtvama, zaobiđu bezbjednosne barijere i dobiju potpunu kontrolu nad osjetljivim oblastima. Sličnu funkciju ima i SCCMVNC, koji je takođe namijenjen krađi podataka bez izazivanja sumnje ili pokretanja upozorenja.

Za trajno prisustvo u sistemima koristi se CRASHPAD, alat koji otvara tajni pristup i omogućava dugoročni pristup, čime se značajno otežava rad bezbjednosnim timovima. U istu svrhu služi i TRUSTTRAP, koji operaterima daje dubok i neograničen pristup, dodatno otežavajući pravovremeno otkrivanje prijetnji.

Krađa podataka je i osnovna namjena alata SIGHTGRAB, kao i DCSYNCER.SLICK, koji omogućavaju izvlačenje osjetljivih informacija iz ciljanih sistema bez izazivanja alarma. Na taj način UNC1549 održava stalnu kontrolu nad kompromitovanim okruženjima i osigurava dugoročno prisustvo.

 

Izviđanje i bočno kretanje

Faza izviđanja predstavlja ključnu komponentu svake sajber operacije, jer omogućava zlonamjernim akterima da prikupe informacije o ciljanom okruženju prije nego što pokrenu dalji napad. U slučaju grupe UNC1549, izviđanje je sprovođeno korištenjem legitimnih alata i javno dostupnih uslužnih programa, vjerovatno sa namjerom da se njihova aktivnost uklopi u uobičajene administrativne procese.

Jedan od alata koji su koristili bio je AD Explorer, pouzdan izvršni program potpisan od strane kompanije Microsoft. On omogućava slanje Active Directory upita i pregled detalja konfiguracije. Budući da se AD Explorer uobičajeno koristi za rutinske zadatke održavanja u Windows okruženjima, zlonamjernim akterima je poslužio kao idealno sredstvo za prikupljanje informacija bez izazivanja sumnje. Na taj način UNC1549 je dobio uvid u strukturu direktorijuma, grupne politike i korisničke naloge ciljanog sistema.

Pored AD Explorer, grupa se oslanjala i na izvorne Windows komande poput net user i net group, koje su im omogućile da nabroje korisničke naloge i članstvo u grupama unutar domena. Ove komande administratori inače koriste za upravljanje nalozima i sprovođenje grupnih politika, što je dodatno pomoglo UNC1549 da se uklopi u standardne administrativne aktivnosti.

Grupa je koristila i PowerShell skripte za za provjeru dostupnosti (eng. ping) i skeniranje portova, usmjerene na određene podmreže, naročito one povezane sa privilegovanim serverima ili radnim stanicama IT administratora. Ovim pristupom prikupljali su podatke o mrežnoj povezanosti, dostupnim uslugama i potencijalnim ranjivostima unutar ciljanih sistema.

Upotreba legitimnih alata kao što su AD Explorer, Windows komande i PowerShell skripte omogućila je UNC1549 da sprovede interno izviđanje bez izazivanja sumnje. Korištenjem programa koje administratori inače koriste za rutinske zadatke, zlonamjerni akteri su uspjeli da prikupe vrijedne informacije o ciljanom okruženju, uz smanjivanje rizika od otkrivanja. Ovakav pristup im je omogućio da održe nizak profil unutar mreže, jer su se oslanjali na alate poznate sistem administratorima, čime je smanjena vjerovatnoća pokretanja upozorenja ili izazivanja sumnje među bezbjednosnim osobljem.

 

Komandovanje i kontrola (C2)

Komandovanje i kontrola (C2) predstavlja ključnu komponentu svake sajber operacije, jer zlonamjernim akterima omogućava da održavaju komunikaciju sa napadnutim sistemima i izdaju komande kada je to potrebno. Upravo na tom principu djeluje i grupa UNC1549, koja aktivno koristi registracije Microsoft Azure Web Apps i infrastrukturu u oblaku za C2 svrhe, prikrivajući svoje aktivnosti unutar legitimnog poslovnog okruženja.

Već spomenuti alat MINIBUS, razvijen za tajni pristup, omogućio je UNC1549 da uspostavi trajnu vezu između svojih C2 servera i napadnutih sistema. Na taj način zadržavali su kontrolu nad mrežom i nakon početnog upada, izdavali komande i prikupljali podatke o ciljnom okruženju bez prekida.

Pored tajnog pristupa, grupa se u velikoj mjeri oslanjala na SSH obrnute tunele postavljene na napadnutim uređajima, preko kojih je saobraćaj sa C2 servera prosljeđivan ka ciljanim sistemima. Ova tehnika je znatno otežala istrage, jer je bezbjednosna telemetrija bilježila samo mrežne veze, dok stvarne aktivnosti prikupljanja podataka nisu ostavljale tragove na uređajima.

Primijećeno je, na primjer, da prilikom pristupa SMB dijeljenim resursima ovim putem nastaju odlazne veze iz SSH procesa na napadnutim uređajima ka C2 serverima UNC1549. Međutim, zbog izostanka lokalne obrade i onemogućene revizije objekata, istraživačima je bilo nemoguće da potvrde da li je došlo do stvarnog prikupljanja podataka.

Korištenje SSH obrnutih tunela omogućilo je grupi da održi nizak profil unutar ciljane mreže, jer su veze bile šifrovane i teško uočljive tradicionalnim alatima za praćenje bezbjednosti. Time je administratorima i bezbjednosnom osoblju otežano prepoznavanje potencijalnih C2 aktivnosti. Oslanjajući se prvenstveno na mrežne veze, a ne na lokalne tragove, UNC1549 je uspio da očuva visok nivo operativne bezbjednosti i oteža braniocima otkrivanje i odgovor na njihove napade.

 

Izbjegavanje odbrane

Grupa UNC1549 poznata je po sistematičnom izbjegavanju odbrambenih mehanizama tokom svojih sajber operacija. Nakon napada često uklanjaju uslužne programe sa napadnutih sistema, kako bi spriječili otkrivanje i onemogućili nastanak forenzičkih tragova koji bi mogli poslužiti bezbjednosnom osoblju ili administratorima u istrazi.

Jedan od tragova koje uklanjaju jesu ključevi registra istorije RDP veza, koji bi mogli da otkriju njihove aktivnosti u ciljnom okruženju. Brisanjem ovih zapisa zlonamjerni akteri održavaju nizak profil i smanjuju vjerovatnoću otkrivanja.

Pored uklanjanja tragova, UNC1549 se oslanja i na SSH obrnute tunele uspostavljene na inficiranim uređajima, povezane nazad sa njihovom infrastrukturom, kao što je ranije opisano. Ova tehnika im omogućava da prikriju aktivnosti od softvera za detekciju i odgovor na prijetnje (eng. Endpoint Detection and Response – EDR) instaliranog na tim sistemima, dodatno otežavajući posao bezbjednosnom osoblju i administratorima.

Sve navedene metode jasno pokazuju da je izbjegavanje odbrane stalni prioritet grupe UNC1549. Brisanjem tragova nakon napada, oslanjanjem na SSH obrnute tunele i izbjegavanjem pripremnih aktivnosti koje bi mogle ostaviti zapise, oni potvrđuju razvijeno razumijevanje tehnika prikrivanja. Takvim postupcima sprječavaju nastanak forenzičkih dokaza koje bi bezbjednosno osoblje moglo koristiti za praćenje njihovih aktivnosti. Zahvaljujući ovakvom pristupu, UNC1549 smanjuje rizik od otkrivanja i održava visok nivo operativne bezbjednosti, što braniocima otežava pravovremeno prepoznavanje i odgovor na njihove napade.

 

Špijunaža

UNC1549 je grupa čije su operacije snažno usmjerene na špijunske ciljeve, jer stalno traže i prikupljaju vrijedne podatke iz ciljanih mreža. Špijunaža, kao ključna komponenta svake sajber operacije, omogućava im da neprimjetno dođu do osjetljivih informacija o svom okruženju i da ih kasnije iskoriste u napadima.

Jedno od glavnih područja njihovog interesa jeste mrežna i IT dokumentacija. Ona im pruža obilje podataka o arhitekturi sistema, bezbjednosnim pravilima i slabostima u ciljnom okruženju. Prikupljanjem ovakvih informacija UNC1549 stiče dublje razumijevanje infrastrukture svojih meta i identifikuje tačke koje se mogu iskoristiti za dalji upad.

Pored tehničke dokumentacije, grupa se usmjerava i na osjetljivu intelektualnu svojinu. Tu spadaju povjerljive poslovne informacije, poslovne tajne i drugi vrijedni podaci koji nisu javno dostupni. Ovakvim prikupljanjem UNC1549 može da stekne prednost nad konkurentima ili da podatke upotrijebi u zlonamjerne svrhe.

Njihova strategija obuhvata i korištenje napadnutih organizacija kao posrednih tačaka za napade na druge entitete u istom industrijskom sektoru. Na taj način izvode upade kod dobavljača i partnera trećih strana, čime proširuju mogućnosti prikupljanja obavještajnih podataka i istovremeno smanjuju rizik od otkrivanja.

Fokus na špijunske ciljeve vidljiv je i kroz prikupljanje osjetljivih elektronskih poruka iz ciljanih mreža. Ovi podaci im omogućavaju da steknu uvid u poslovne komunikacije, da prepoznaju slabosti u infrastrukturi elektronske pošte i da ih iskoriste za napade društvenog inženjeringa usmjerenog protiv ključnog osoblja ili rukovodilaca.

 

UNC1549 ATP

UNC1549 se klasifikuje kao napredna trajna prijetnja (eng. Advanced persistent threat – APT) sa snažnim vezama prema iranskim državnim interesima. Njihove aktivnosti pokazuju preklapanja sa poznatim iranskim naprednim trajnim prijetnjama (APT), uključujući APT34 i APT33. Zemlja porijekla grupe se pripisuje Iranu, gdje su povezani sa operacijama koje sponzoriše država, a čiji je cilj ugrožavanje sektora od strateške važnosti, među kojima su vazduhoplovstvo, odbrana i kritična infrastruktura.

Tokom godina UNC1549 je izgradio istoriju obilježenu stalnim napadima na osjetljive industrije. U tim operacijama koriste zlonamjerni softver razvijen po narudžbini, alate otvorenog kôda i tehnike stapanja sa okolinom (eng. Living off the Land – LotL), čime izbjegavaju otkrivanje i obezbjeđuju dugoročni pristup mrežama žrtava. Njihove kampanje su se razvijale od početnih pokušaja prikupljanja obavještajnih i tehničkih podataka ka složenijim napadima, u kojima raspoređuju alate za tajni pristup, među kojima je MINIBUS. Ovaj softver je korišten u ciljanom pecanju i na lažnim internet stranicama za zapošljavanje, što pokazuje naglasak grupe na prikrivenosti i obmani.

UNC1549 je naročito poznat po napadima na organizacije u vazduhoplovnom sektoru, uključujući operatere satelita, proizvođače aviona, dobavljače avionske elektronike i izvođače radova u odbrambenoj industriji. Jedna od značajnijih kampanja bila je vezana za rat između Izraela i Hamasa, gdje su se predstavljali kao pokret koji zagovara oslobađanje izraelskih zarobljenika. Ova taktika pokazuje njihovu sposobnost da prilagode operacije geopolitičkom kontekstu.

Metode koje koriste obuhvataju društveni inženjering, ciljano pecanje, širenje zlonamjernog softvera preko kompromitovanih platformi ili lažnih stranica za posao, kao i oslanjanje na infrastrukturu u oblaku za komunikaciju komandovanja i kontrole. Njihov arsenal uključuje posebno razvijen softver kao što je MINIBUS, koji služi za isporuku korisnog tereta, podešavanje infrastrukture komandovanja i kontrole i posjeduje osobine koje ga razlikuju od ranijih alata.

Motivacija grupe je prvenstveno usmjerena na prikupljanje obavještajnih podataka i krađu osjetljivih tehničkih informacija, a ne na finansijsku dobit. Fokus im je na uspostavljanju dugoročnog prisustva unutar mreža žrtava, što im omogućava sprovođenje budućih operacija. Ključna odlika njihovog djelovanja jeste sposobnost da se uklope u operativni pejzaž, kombinujući alate otvorenog kôda sa prilagođenim zlonamjernim softverom i tehnikama stapanja sa okolinom (LotL), kako bi ostali neprimijećeni.

 

UTICAJ

Sajber prijetnja UNC1549 ostavlja dubok trag na različite industrije, posebno na sektore vazduhoplovstva i odbrane. Organizacije koje posluju u ovim oblastima izložene su ciljanim kampanjama usmjerenim na ugrožavanje osjetljivih informacija i ometanje kritičnih operacija. Posljedice takvih napada ne svode se samo na finansijske gubitke, već obuhvataju narušenu reputaciju, ugroženu intelektualnu svojinu i slabljenje povjerenja među partnerima i klijentima.

Jedna od najefikasnijih taktika UNC1549 jeste iskorištavanje pouzdanih dobavljača trećih strana. Na taj način zlonamjerni akteri relativno lako stiču neovlašteni pristup visoko obezbijeđenim okruženjima. Ovakav pristup ne samo da potkopava povjerenje u bezbjednost lanca snabdijevanja, već izaziva domino efekat kroz čitave ekosisteme. Kada se ugroženi dobavljači koriste kao posredne tačke u glavnim korporativnim mrežama, integritet osjetljivih podataka postaje ozbiljno narušen.

Pored toga, UNC1549 se oslanja na kampanje ciljanog pecanja koje su dovele do značajnih gubitaka za pogođene organizacije. Ovi napadi često uključuju taktike društvenog inženjeringa osmišljene da obmanu čak i najopreznije korisnike. Posljedice takve obmane mogu biti teške, jer dovode do neovlaštenog pristupa, kompromitovanja podataka i dugotrajnog narušavanja ugleda.

Uticaj na pojedinačne zaposlene takođe je značajan. Oni koji postanu žrtve ciljanog pecanja ili drugih oblika eksploatacije često prolaze kroz emocionalnu patnju, uključujući osjećaje krivice, stida i anksioznosti. Posljedice po njihove karijere mogu biti ozbiljne, pa se neki suočavaju sa disciplinskim mjerama ili čak otkazom zbog postupaka koji su proizašli iz obmane.

Osim direktnih posljedica, djelovanje UNC1549 doprinosi opštem osjećaju nesigurnosti u pogođenim industrijama. Organizacije su primorane da ponovo procjenjuju svoje bezbjednosne protokole, ulažu u skupe mjere zaštite i izdvajaju značajna sredstva za reagovanje na incidente. Sve to dovodi do smanjene produktivnosti, povećanih troškova i stalnog osjećaja neizvjesnosti koji prožima čitave ekosisteme.

 

ZAKLJUČAK

Primijećeno je da UNC1549 koristi napredne taktike u kampanjama protiv osjetljivih industrija, posebno u oblastima vazduhoplovstva i odbrane. Upotreba dobro osmišljenih kampanja ciljanog pecanja, eksploatacija pouzdanih veza i brisanje forenzičkih tragova ukazuju na protivnika koji je visoko organizovan i tehnički zreo.

Posebno je značajan dvostruki pristup koji ova grupa primjenjuje prilikom dobijanja početnog pristupa ciljanom okruženju. Kombinovanjem zlonamjernog softvera sa krađom podataka za prijavu kroz kampanje ciljanog pecanja, UNC1549 pokazuje sposobnost da prilagođava i razvija svoje metode u skladu sa okolnostima. Takva fleksibilnost je ključna za svakog aktera koji želi da održi visok nivo operativne bezbjednosti.

Dodatno, korištenje SSH obrnute veze od inficiranih uređaja nazad ka infrastrukturi UNC1549 potvrđuje njihovu stručnost u prikrivanju aktivnosti od softvera za detekciju i odgovor na prijetnje (EDR). Ova tehnika pokazuje jasno razumijevanje kako zaobići bezbjednosne kontrole i ostati neotkriven duži vremenski period.

Rastuća tehnička zrelost UNC1549 predstavlja zabrinjavajući trend, jer ukazuje da će grupa nastaviti da bude ozbiljan izazov za stručnjake za sajber bezbjednost. Njihovo stalno interesovanje za prikupljanje obavještajnih podataka iz osjetljivih industrija naglašava strateške ciljeve i posvećenost špijunskim aktivnostima.

U svjetlu ovih nalaza postaje jasno da je razumijevanje taktika koje koristi UNC1549 neophodno za razvoj efikasnih kontramjera. Analizom njihovih metoda stručnjaci za sajber bezbjednost mogu se bolje pripremiti za buduće kampanje i ojačati ukupni nivo zaštite.

Na kraju, prisustvo UNC1549 u sajber bezbjednosnom pejzažu podsjeća na stalno evoluirajuću prirodu ovih prijetnji. Kako se pojavljuju nove taktike, tako se mora razvijati i sposobnost da im se pravovremeno i efikasno suprotstavi.

 

PREPORUKE

Zaštita od naprednih taktika UNC1549 grupe zlonamjernih aktera zahtijeva višeslojni pristup koji obuhvata budnost i pojedinaca i organizacija. Ključne mjere uključuju sprovođenje temeljnih provjera partnera, primjenu strogih kontrola pristupa i redovan pregled ugovornih obaveza. Ovakav profil djelovanja nameće potrebu za pažljivo oblikovanim preporukama koje će doprinijeti jačanju odbrane i smanjenju rizika od budućih operacija:

  1. Zaposleni treba da prolaze kroz redovnu obuku kako bi naučili da prepoznaju i odole kampanjama ciljanog pecanja, koje predstavljaju ključnu komponentu strategije napada grupe UNC1549. Takva obuka može da obuhvati radionice ili edukativne module osmišljene da korisnicima ukažu na rizike i razviju njihovu sposobnost da budu oprezni prilikom primanja neželjenih elektronskih poruka ili poruka koje dolaze iz nepoznatih izvora.
  2. Autentifikacija u više koraka (eng. multi-factor authentication – MFA) predstavlja jednu od ključnih bezbjednosnih kontrola, jer sprečava zlonamjerne aktere poput UNC1549 da koriste ukradene podatke za prijavu kako bi došli do sistema i osjetljivih informacija. Da bi se smanjio rizik od neovlaštenog pristupa, organizacije bi trebalo da uvedu autentifikaciju u više koraka (MFA) za sve udaljene veze, kao i virtuelne privatne mreže (eng. Virtual Private Network – VPN) za aplikacije koje obrađuju povjerljive podatke.
  3. Pošto zlonamjerni akteri poput UNC1549 koriste prilagođene alate u svojim napadima, organizacije moraju imati sposobnost da u realnom vremenu otkriju i blokiraju nove, nepoznate varijante zlonamjernog softvera. Samo takav pristup omogućava da se spriječi širenje prijetnji i zaštite kritični sistemi i podaci.
  4. Zlonamjerni akteri često koriste obrnute SSH ljuske kao sredstvo za održavanje prikrivenosti i komande i kontrole (C2). Organizacije bi trebalo da implementiraju praćenje SSH sesija kako bi rano otkrile sumnjive aktivnosti.
  5. Redovne bezbjednosne revizije imaju ključnu ulogu u jačanju odbrane organizacija, jer pomažu da se na vrijeme otkriju slabosti u sistemima, mrežama ili aplikacijama. Upravo takve ranjivosti zlonamjerni akteri poput UNC1549 nastoje da iskoriste za početni pristup, pa je njihovo pravovremeno prepoznavanje i otklanjanje od presudnog značaja za očuvanje bezbjednosti.
  6. Posjedovanje jasnog i efikasnog plana odgovora na sajber prijetnje od presudnog je značaja kada se suočava sa potencijalnim napadom grupe poput UNC1549. Organizacije bi trebalo da obezbijede precizno definisane procedure koje obuhvataju obuzdavanje napada, njegovo iskorjenjivanje i potpuni oporavak sistema i podataka.
  7. Održavanje svih softvera vezanih za bezbjednost ažuriranim najnovijim ispravkama i ažuriranjima može pomoći u sprječavanju zlonamjernih aktera poput UNC1549 da iskoriste poznate ranjivosti kako bi dobili početni pristup.
  8. Filtriranje sistema imena domena (eng. domain name system – DNS) predstavlja jednu od osnovnih bezbjednosnih kontrola. Njegova primjena sprečava zlonamjerne aktere da koriste lažne ili slične domene, kao i druge taktike kojima pokušavaju da zaobiđu posrednike (eng. proxies) i sprovedu kampanje ciljanog pecanja.
  9. Organizacije moraju da obezbijede jasne i dosljedne kontrole u saradnji sa dobavljačima. To podrazumijeva stroge mjere kontrole pristupa, kao i redovno praćenje odnosa sa trećim stranama. Na taj način se smanjuje rizik da zlonamjerni akteri iskoriste slabosti u lancu snabdijevanja i dobiju neovlašteni pristup osjetljivim sistemima ili podacima.
  10. Korištenje efikasnog programa obavještajnih podataka o prijetnjama od presudnog je značaja za organizacije koje žele da budu korak ispred zlonamjernih aktera poput UNC1549. Takvi programi pružaju uvid u potencijalne vektore i taktike napada u realnom vremenu, čime se povećava sposobnost pravovremenog reagovanja i smanjuje rizik od uspješnog kompromitovanja sistema.

Zaštita od naprednih strategija napada grupe zlonamjernih aktera UNC1549 zahtjeva sveobuhvatan pristup koji uključuje budnost i pojedinaca i organizacija. Primjenom ovih preporuka, organizacije mogu značajno smanjiti svoju izloženost riziku od ove vrste prijetnji.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.