Okruženje na radnom mjestu nakon pandemije donijelo je značajne promjene u krajolik mrežne sigurnosti. Organizacije su se počele više oslanjati na rješenja za pohranu u oblaku, kao što su Google Drive i Dropbox, za obavljanje svojih svakodnevnih operacija.

Usluge pohrane u oblaku pružaju jednostavan i siguran način za zadovoljavanje potreba udaljene radne snage. Ali ne koriste samo tvrtke i zaposlenici te usluge. Hakeri pronalaze načine kako iskoristiti povjerenje u usluge u oblaku i učiniti njihove napade iznimno teškim za otkrivanje.

Kako se to događa? Hajde da vidimo!

Kako hakeri koriste usluge pohrane u oblaku da bi izbjegli otkrivanje?

Iako korisnici obično vjeruju uslugama šifrirane pohrane u oblaku, tvrtkama može biti izuzetno teško otkriti zlonamjernu aktivnost. Sredinom srpnja 2022. istraživači na Palo Alto mreže otkrili su zlonamjernu aktivnost koja koristi usluge u oblaku od strane grupe pod nazivom Cloaked Ursa—poznate i kao APT29 i Cosy Bear.

Vjeruje se da je skupina povezana s ruskom vladom i da je odgovorna za kibernetičke napade na Demokratski nacionalni odbor SAD-a (DNC) i 2020.

instagram viewer
Hakiranje opskrbnog lanca SolarWinds. Također je uključen u nekoliko kampanja cyber špijunaže protiv vladinih dužnosnika i veleposlanstava diljem svijeta.

Njegova sljedeća kampanja uključuje korištenje legitimnih rješenja za pohranu u oblaku kao što su Google Drive i Dropbox za zaštitu njihovih aktivnosti. Evo kako grupa izvodi ove napade.

Modus Operandi napada

Napad počinje s phishing e-poštom koja se šalje visoko profiliranim metama u europskim veleposlanstvima. Maskira se kao pozivnice na sastanke s veleposlanicima i dolazi s navodnim dnevnim redom u zlonamjernom PDF privitku.

Prilog sadrži zlonamjernu HTML datoteku (EnvyScout) smješten u Dropboxu koji bi olakšao isporuku drugih zlonamjernih datoteka, uključujući korisni teret Cobalt Strike na uređaj korisnika.

Istraživači nagađaju da primatelj u početku nije mogao pristupiti datoteci u Dropboxu, vjerojatno zbog restriktivnih vladinih politika prema aplikacijama trećih strana. Međutim, napadači su brzo poslali druga e-pošta za krađu identiteta s vezom na zlonamjernu HTML datoteku.

Umjesto da koriste Dropbox, hakeri se sada oslanjaju na Google Drive servise za pohranu kako bi sakrili svoje radnje i isporučili korisni teret ciljnom okruženju. Ovaj put štrajk nije blokiran.

Zašto prijetnja nije blokirana?

Čini se da se mnoga radna mjesta sada oslanjaju na Googleove aplikacije, uključujući Drive obavljaju svoje svakodnevne operacije, blokiranje ovih usluga obično se smatra neučinkovitim produktivnost.

Sveprisutna priroda usluga u oblaku i povjerenje korisnika u njih čine ovu novu prijetnju izuzetno izazovnom ili čak nemogućom za otkrivanje.

Koja je svrha napada?

Poput mnogih kibernetičkih napada, čini se da je namjera bila korištenje zlonamjernog softvera i stvaranje stražnjih vrata u zaraženu mrežu radi krađe osjetljivih podataka.

Jedinica 42 u Palo Alto mreži upozorila je i Google Drive i Dropbox na zlouporabu njihovih usluga. Priopćeno je da su poduzete odgovarajuće mjere protiv računa uključenih u zlonamjernu aktivnost.

Kako se zaštititi od kibernetičkih napada u oblaku

Budući da se većina anti-malware alata i alata za otkrivanje više fokusira na preuzete datoteke umjesto na datoteke u oblaku, hakeri se sada okreću uslugama za pohranu u oblaku kako bi izbjegli otkrivanje. Iako takve pokušaje krađe identiteta nije lako otkriti, postoje koraci koje možete poduzeti kako biste ublažili rizike.

  • Omogućite autentifikaciju s više faktora za svoje račune: Čak i ako se korisničke vjerodajnice dobiju na ovaj način, haker bi i dalje zahtijevao pristup uređaju koji također izvodi višefaktorsku provjeru valjanosti.
  • Primijenite Privilegija najmanjeg principa: Korisnički račun ili uređaj trebaju samo onoliko pristupa koliko je potrebno za određeni slučaj.
  • Opozovite prekomjeran pristup osjetljivim informacijama: Nakon što je korisniku odobren pristup aplikaciji, ne zaboravite opozvati te privilegije kada pristup više nije potreban.

Što je ključno za ponijeti?

Usluge pohrane u oblaku bile su velika promjena za organizacije kako bi optimizirale resurse, pojednostavile operacije, uštedjele vrijeme i skinule neke sigurnosne odgovornosti sa svoje ploče.

Ali kao što je jasno iz ovakvih napada, hakeri su počeli koristiti infrastrukturu oblaka za izradu napada koje je teže otkriti. Zlonamjerna datoteka mogla je biti smještena u Microsoft OneDrive, Amazon AWS ili bilo kojoj drugoj usluzi za pohranu u oblaku.

Razumijevanje ovog novog vektora prijetnje je važno, ali teži dio je postavljanje kontrola za njegovo otkrivanje i odgovor na njega. Čini se da se čak i dominantni igrači u tehnologiji bore s tim.