Darba vietas vide pēc pandēmijas ir radījusi būtiskas izmaiņas tīkla drošības vidē. Organizācijas ir sākušas vairāk paļauties uz mākoņkrātuves risinājumiem, piemēram, Google disku un Dropbox, lai veiktu savas ikdienas darbības.
Mākoņkrātuves pakalpojumi nodrošina vienkāršu un drošu veidu, kā apmierināt attālināta darbaspēka vajadzības. Taču ne tikai uzņēmumi un darbinieki izmanto šos pakalpojumus. Hakeri atrod veidus, kā palielināt uzticību mākoņpakalpojumiem un padarīt savus uzbrukumus ārkārtīgi grūti atklāt.
Kā tas notiek? Noskaidrosim!
Kā hakeri izmanto mākoņkrātuves pakalpojumus, lai izvairītos no atklāšanas?
Lai gan lietotāji parasti uzticas šifrētiem mākoņa krātuves pakalpojumiem, uzņēmumiem var būt ārkārtīgi grūti atklāt ļaunprātīgu darbību. 2022. gada jūlija vidū pētnieki no Palo Alto tīkli atklāja ļaunprātīgu darbību, izmantojot mākoņpakalpojumus, ko veica grupa Cloaked Ursa, kas pazīstama arī kā APT29 un Cozy Bear.
Tiek uzskatīts, ka grupai ir sakari ar Krievijas valdību, un tā ir atbildīga par kiberuzbrukumiem pret ASV Demokrātu nacionālo komiteju (DNC) un 2020.
SolarWinds piegādes ķēdes uzlauzšana. Tas ir iesaistīts arī vairākās kiberspiegošanas kampaņās pret valdības amatpersonām un vēstniecībām visā pasaulē.Tās nākamā kampaņa ietver likumīgu mākoņu krātuves risinājumu, piemēram, Google diska un Dropbox, izmantošanu, lai aizsargātu viņu darbības. Lūk, kā grupa veic šos uzbrukumus.
Uzbrukuma Modus Operandi
Uzbrukums sākas ar pikšķerēšanas e-pastiem, kas tiek nosūtīti augsta līmeņa mērķiem Eiropas vēstniecībās. Tas tiek maskēts kā uzaicinājumi uz sanāksmēm ar vēstniekiem, un tiek piedāvāta iespējamā darba kārtība ļaunprātīgā PDF pielikumā.
Pielikumā ir ietverts ļaunprātīgs HTML fails (EnvyScout), kas tiek mitināts pakalpojumā Dropbox, kas atvieglotu citu ļaunprātīgu failu, tostarp Cobalt Strike lietderīgās slodzes, piegādi lietotāja ierīcē.
Pētnieki spekulē, ka adresāts sākotnēji nevarēja piekļūt failam pakalpojumā Dropbox, iespējams, valdības ierobežojošo politiku dēļ trešo pušu lietojumprogrammām. Tomēr uzbrucēji steidzās raidīt otrs pikšķerēšanas e-pasts ar saiti uz ļaunprātīgo HTML failu.
Tā vietā, lai izmantotu Dropbox, hakeri tagad paļaujas uz Google diska krātuves pakalpojumiem, lai slēptu savas darbības un piegādātu lietderīgās slodzes mērķa vidē. Šoreiz streiks netika bloķēts.
Kāpēc draudi netika bloķēti?
Šķiet, ka tagad daudzas darba vietas paļaujas uz Google lietojumprogrammām, tostarp Disks veikt savas ikdienas darbības, šo pakalpojumu bloķēšana parasti tiek uzskatīta par neefektīvu produktivitāte.
Mākoņpakalpojumu visuresošais raksturs un klientu uzticēšanās tiem padara šo jauno draudu ārkārtīgi sarežģītu vai pat neiespējamu noteikt.
Kāds ir uzbrukuma mērķis?
Tāpat kā daudzi kiberuzbrukumi, šķiet, ka nolūks bija izmantot ļaunprātīgu programmatūru un izveidot aizmugures durvis uz inficētu tīklu, lai nozagtu sensitīvus datus.
Palo Alto tīkla 42. nodaļa ir brīdinājusi gan Google disku, gan Dropbox par viņu pakalpojumu ļaunprātīgu izmantošanu. Tiek ziņots, ka tika veiktas atbilstošas darbības pret kontiem, kas saistīti ar ļaunprātīgu darbību.
Kā aizsargāties pret mākoņu kiberuzbrukumiem
Tā kā lielākā daļa pretļaunatūras programmatūras un noteikšanas rīku vairāk koncentrējas uz lejupielādētajiem failiem, nevis failiem mākonī, hakeri tagad izmanto mākoņa krātuves pakalpojumus, lai izvairītos no atklāšanas. Lai gan šādus pikšķerēšanas mēģinājumus nav viegli atklāt, ir dažas darbības, ko varat veikt, lai mazinātu riskus.
- Iespējojiet vairāku faktoru autentifikāciju saviem kontiem: Pat ja lietotāja akreditācijas dati tiek iegūti šādā veidā, hakeram joprojām būs nepieciešama piekļuve ierīcei, kas arī veic daudzfaktoru validāciju.
- Piesakies Mazākā principa privilēģija: Lietotāja kontam vai ierīcei ir nepieciešama tikai konkrētam gadījumam nepieciešamā piekļuve.
- Atsaukt pārmērīgu piekļuvi sensitīvai informācijai: Kad lietotājam ir piešķirta piekļuve lietojumprogrammai, atcerieties atsaukt šīs privilēģijas, kad piekļuve vairs nav nepieciešama.
Kas ir atslēga līdzņemšanai?
Mākoņkrātuves pakalpojumi ir bijuši milzīgs spēļu mainītājs organizācijām, lai optimizētu resursus, racionalizētu darbības, ietaupītu laiku un noņemtu dažus drošības pienākumus.
Taču, kā redzams no šādiem uzbrukumiem, hakeri ir sākuši izmantot mākoņa infrastruktūru, lai izstrādātu uzbrukumus, kurus ir grūtāk atklāt. Ļaunprātīgais fails varētu būt mitināts pakalpojumā Microsoft OneDrive, Amazon AWS vai jebkurā citā mākoņa krātuves pakalpojumā.
Izpratne par šo jauno draudu vektoru ir svarīga, taču grūtākais ir vadības ierīču ieviešana, lai to atklātu un reaģētu uz to. Un šķiet, ka pat dominējošie tehnoloģiju spēlētāji cīnās ar to.