Исследователи Positive Technologies выкатили исследование, посвященное анализу kill chain ведущих APT-группировок, нацеленных на Ближний Восток, ставший в последнее время привлекательной мишенью для кибератак.

В регионе сосредоточена высокая концентрация промышленных компаний и предприятий энергетического сектора, выступающих драйвером процессов цифровизации, что в совокупности привлекает внимание хакеров.

Как отмечают исследователи, из 141 расследованной атаки на страны Ближнего Востока более 80% этих атак носили целевой характер.

Главный мотив большинства атак - кибершпионаж.

Поэтому Ближний Восток регулярно находится на прицеле АРТ-групп, осуществляющих многоэтапные, тщательно спланированные атаки, нацеленные на конкретную отрасль или группу отраслей, преследуя политические, экономические и военные интересы.

Некоторые группы APT также были замечены в хактивистских кампаниях и операциях, направленных на саботаж. Как выяснили исследователи, на самом деле не явлись хактивистскими по своей природе. 

Возглавляют список наиболее атакованных стран Саудовская Аравия и ОАЭ, далее - Израиль, Иордания и Египет.

Почти все изученные APT хотя бы один раз атаковали правительственный сектор, а 69% - нацеливались энергетику.

Также можно выделить военно-промышленный комплекс, который в силу геополитических особенностей региона занимает достаточно высокое место в рейтинге. Без внимания не остались СМИ и телеком.

Но главное в отчете - достаточно углубленный анализ kill chain, включающий все этапы атак 16 групп APT, действовавших в странах Ближнего Востока за последние несколько лет.

Тактика и методы этих групп описаны в рамках матрицы MITRE ATT&CK для предприятий (версия 13.1) со ссылками на подробные описания упомянутых методик.

Кроме того, исследователи консолидировали инфу по каждой группе, а также наглядно уложили TTPs всех АРТ в рамках heat map, не позабыв о главном - как им противостоять.

На удивление оперативно затушили назревающий в X скандал по поводу замеченной аномалии в Signal Messenger, которое, по мнению исследователей, может указывать на потенциальный 0-day эксплойт в стеке Signal VoIP.

Причем, по некоторым данным, с аналогичными странностями и подозрениями на 0-click через стек Signal VOIP сталкивались также пользователи из России.

В свою очередь, моментально на появившиеся сообщения в X отреагировала администрация мессенджера в лице ее руководителя.

Мередит Уиттакер с уверенностью заявила, что это не атака 0-click, а всего лишь ошибка в реализации настроек конфиденциальности с привязкой номера к имени пользователя, которую разработчики скоро исправят.

Примечательно, что официальное заявление быстро растащили по X пользователи, под копирку размещая опровержения какую-либо 0-day или атаки. Затем сам X присовокупил твит Мередит Уиттакер к исходным сообщениям.

Что не маловажно, на момент обнаружения аномалии у автора дискуссии была установлена последняя версия iOS 17.4 и Signal 7.2, а на следующий день были выпущены версии 17.4.1 и 7.3.

Учитывая неоднозначный бэкграунд компании и ее руководителей, никакие версии исключать нельзя, особенно в контексте последовавшей реакции со стороны Signal.

Но будем посмотреть.