Mediul post-pandemie la locul de muncă a adus schimbări semnificative în peisajul securității rețelei. Organizațiile au început să se bazeze mai mult pe soluții de stocare în cloud, cum ar fi Google Drive și Dropbox, pentru a-și desfășura operațiunile de zi cu zi.
Serviciile de stocare în cloud oferă o modalitate simplă și sigură de a răspunde nevoilor unei forțe de muncă de la distanță. Dar nu numai companiile și angajații profită de aceste servicii. Hackerii găsesc modalități de a profita de încrederea în serviciile cloud și de a face atacurile lor extrem de dificil de detectat.
Cum se întâmplă? Să aflăm!
Cum folosesc hackerii serviciile de stocare în cloud pentru a evita detectarea?
Deși serviciile de stocare în cloud criptate sunt de obicei de încredere de către utilizatori, poate fi extrem de dificil pentru companii să detecteze activități rău intenționate. La mijlocul lunii iulie 2022, cercetătorii de la Rețelele Palo Alto a descoperit activitate rău intenționată care folosește serviciile cloud de către un grup numit Cloaked Ursa - cunoscut și sub numele de APT29 și Cozy Bear.
Se crede că grupul are legături cu guvernul rus și este responsabil pentru atacurile cibernetice împotriva Comitetului Național Democrat al SUA (DNC) și 2020. Hack în lanțul de aprovizionare SolarWinds. Este, de asemenea, implicat în mai multe campanii de spionaj cibernetic împotriva oficialilor guvernamentali și a ambasadelor din întreaga lume.
Următoarea sa campanie implică utilizarea unor soluții legitime de stocare în cloud precum Google Drive și Dropbox pentru a-și proteja activitățile. Iată cum grupul conduce aceste atacuri.
Modus Operandi al atacului
Atacul începe cu e-mailuri de phishing trimise către ținte de mare profil din ambasadele europene. Se preface ca invitații la întâlniri cu ambasadorii și vine cu o presupusă agendă într-un atașament PDF rău intenționat.
Atașamentul conține un fișier HTML rău intenționat (EnvyScout) găzduit în Dropbox, care ar facilita livrarea altor fișiere rău intenționate, inclusiv o încărcare utilă Cobalt Strike pe dispozitivul utilizatorului.
Cercetătorii speculează că destinatarul nu a putut accesa inițial fișierul în Dropbox, probabil din cauza politicilor guvernamentale restrictive privind aplicațiile terțe. Cu toate acestea, atacatorii s-au grăbit să trimită un al doilea e-mail de tip spear phishing cu un link către fișierul HTML rău intenționat.
În loc să folosească Dropbox, hackerii se bazează acum pe serviciile de stocare Google Drive pentru a-și ascunde acțiunile și pentru a livra încărcături utile mediului țintă. De data aceasta, greva nu a fost blocată.
De ce nu a fost blocată amenințarea?
Se pare că, din moment ce multe locuri de muncă se bazează acum pe aplicațiile Google, inclusiv pe Drive, să își desfășoară operațiunile de zi cu zi, blocarea acestor servicii este de obicei considerată ineficientă productivitate.
Natura omniprezentă a serviciilor cloud și încrederea clienților în acestea fac ca această nouă amenințare să fie extrem de provocatoare sau chiar imposibil de detectat.
Care este scopul atacului?
La fel ca multe atacuri cibernetice, se pare că intenția a fost de a folosi malware și de a crea o ușă în spate într-o rețea infectată pentru a fura date sensibile.
Unitatea 42 de la Rețeaua Palo Alto a alertat atât Google Drive, cât și Dropbox cu privire la abuzul serviciilor lor. S-a raportat că au fost luate măsuri adecvate împotriva conturilor implicate în activitatea rău intenționată.
Cum să vă protejați împotriva atacurilor cibernetice din cloud
Deoarece majoritatea instrumentelor anti-malware și de detectare se concentrează mai mult pe fișierele descărcate decât pe fișierele din cloud, hackerii apelează acum la serviciile de stocare în cloud pentru a evita detectarea. Deși astfel de încercări de phishing nu sunt ușor de detectat, există pași pe care îi puteți lua pentru a atenua riscurile.
- Activați autentificarea cu mai mulți factori pentru conturile dvs.: Chiar dacă acreditările utilizatorului sunt obținute în acest mod, hackerul ar avea nevoie de acces la dispozitivul care efectuează și validarea multifactorială.
- Aplicați Privilegiul celui mai mic principiu: Un cont de utilizator sau un dispozitiv au nevoie doar de acces suficient necesar pentru un caz specific.
- Revocați accesul excesiv la informațiile sensibile: Odată ce unui utilizator i se acordă acces la o aplicație, nu uitați să revocați acele privilegii atunci când accesul nu mai este necesar.
Care este Cheia Takeaway?
Serviciile de stocare în cloud au reprezentat o schimbare uriașă pentru organizații, pentru a optimiza resursele, a eficientiza operațiunile, a economisi timp și a renunța la anumite responsabilități de securitate.
Dar, așa cum reiese din atacuri ca acestea, hackerii au început să folosească infrastructura cloud pentru a crea atacuri care sunt mai greu de detectat. Fișierul rău intenționat ar fi putut fi găzduit în Microsoft OneDrive, Amazon AWS sau orice alt serviciu de stocare în cloud.
Înțelegerea acestui nou vector de amenințare este importantă, dar partea grea este să pună în aplicare controale pentru a detecta și a răspunde la el. Și se pare că până și jucătorii dominanti în tehnologie se luptă cu asta.
