Pracovné prostredie po pandémii prinieslo významné zmeny v oblasti bezpečnosti sietí. Organizácie sa začali viac spoliehať na riešenia cloudových úložísk, ako sú Disk Google a Dropbox, aby mohli vykonávať svoje každodenné operácie.
Služby cloudového úložiska poskytujú jednoduchý a bezpečný spôsob, ako uspokojiť potreby vzdialenej pracovnej sily. Nie sú to však len podniky a zamestnanci, ktorí využívajú výhody týchto služieb. Hackeri hľadajú spôsoby, ako využiť dôveru v cloudové služby a sťažiť odhalenie ich útokov.
Ako sa to stane? Poďme zistiť!
Ako hackeri používajú služby cloudového úložiska, aby sa vyhli detekcii?
Hoci používatelia zvyčajne dôverujú šifrovaným cloudovým ukladacím službám, pre spoločnosti môže byť mimoriadne ťažké odhaliť škodlivú aktivitu. V polovici júla 2022 výskumníci v Palo Alto Networks objavila škodlivú aktivitu využívajúcu cloudové služby skupinou s názvom Cloaked Ursa – tiež známa ako APT29 a Cozy Bear.
Predpokladá sa, že skupina má spojenie s ruskou vládou a je zodpovedná za kybernetické útoky proti Demokratickému národnému výboru USA (DNC) a 2020.
Hack dodávateľského reťazca SolarWinds. Je tiež zapojená do niekoľkých kampaní kybernetickej špionáže proti vládnym úradníkom a ambasádam po celom svete.Jeho ďalšia kampaň zahŕňa používanie legitímnych riešení cloudového úložiska, ako sú Disk Google a Dropbox na ochranu ich aktivít. Tu je návod, ako skupina vedie tieto útoky.
Modus operandi útoku
Útok sa začína phishingovými e-mailami rozoslanými na významné ciele na európskych ambasádach. Vydáva sa za pozvánky na stretnutia s veľvyslancami a prichádza s údajnou agendou v škodlivej prílohe PDF.
Príloha obsahuje škodlivý súbor HTML (EnvyScout) hosťované v Dropboxe, ktorý by uľahčil doručovanie ďalších škodlivých súborov vrátane užitočného obsahu Cobalt Strike do zariadenia používateľa.
Výskumníci špekulujú, že príjemca nemohol pôvodne získať prístup k súboru v Dropboxe, pravdepodobne kvôli reštriktívnym vládnym politikám týkajúcim sa aplikácií tretích strán. Útočníkov však rýchlo poslali druhý spear phishingový e-mail s odkazom na škodlivý súbor HTML.
Hackeri sa teraz namiesto používania Dropboxu spoliehajú na služby úložiska Disku Google, aby skryli svoje akcie a doručili užitočné zaťaženie do cieľového prostredia. Tentoraz nebol štrajk zablokovaný.
Prečo nebola vyhrážka zablokovaná?
Zdá sa, že keďže mnohé pracoviská sa teraz spoliehajú na aplikácie Google vrátane Disku vykonávať svoje každodenné operácie, blokovanie týchto služieb sa zvyčajne považuje za neefektívne produktivitu.
Všadeprítomná povaha cloudových služieb a dôvera zákazníkov v ne robia túto novú hrozbu mimoriadne náročnou alebo dokonca nemožnou odhaliť.
Aký je účel útoku?
Ako pri mnohých kybernetických útokoch sa zdá, že zámerom bolo použiť malvér a vytvoriť zadné vrátka do infikovanej siete na odcudzenie citlivých údajov.
Jednotka 42 v sieti Palo Alto upozornila Disk Google aj Dropbox na zneužívanie ich služieb. Uvádza sa, že proti účtom zapojeným do škodlivej aktivity boli podniknuté príslušné opatrenia.
Ako sa chrániť pred cloudovými kybernetickými útokmi
Keďže väčšina antimalvérových a detekčných nástrojov sa viac zameriava na stiahnuté súbory namiesto súborov v cloude, hackeri sa teraz obracajú na služby cloudového úložiska, aby sa vyhli detekcii. Hoci takéto pokusy o phishing nie je ľahké odhaliť, existujú kroky, ktoré môžete podniknúť na zmiernenie rizík.
- Povoľte pre svoje účty viacfaktorové overenie: Aj keď sa poverenia používateľa získajú týmto spôsobom, hacker bude stále vyžadovať prístup k zariadeniu, ktoré tiež vykonáva viacfaktorové overenie.
- Použiť Privilégium najmenej: Používateľský účet alebo zariadenie potrebuje iba dostatočný prístup potrebný pre konkrétny prípad.
- Zrušte nadmerný prístup k citlivým informáciám: Keď je používateľovi udelený prístup k aplikácii, nezabudnite tieto privilégiá odvolať, keď už prístup nie je potrebný.
Čo je to hlavné?
Služby cloudových úložísk boli pre organizácie veľkou zmenou, pretože optimalizovali zdroje, zefektívnili operácie, šetrili čas a zbavili sa niektorých bezpečnostných povinností.
Ako je však zrejmé z takýchto útokov, hackeri začali využívať cloudovú infraštruktúru na vytváranie útokov, ktoré je ťažšie odhaliť. Škodlivý súbor mohol byť hosťovaný v Microsoft OneDrive, Amazon AWS alebo v akejkoľvek inej službe cloudového úložiska.
Pochopenie tohto nového vektora hrozieb je dôležité, ale najťažšia časť je zaviesť kontroly na ich detekciu a reakciu na ne. A zdá sa, že aj dominantní hráči v oblasti technológií s tým zápasia.
