Środowisko pracy po pandemii przyniosło znaczące zmiany w krajobrazie bezpieczeństwa sieci. Organizacje zaczęły w coraz większym stopniu polegać na rozwiązaniach do przechowywania w chmurze, takich jak Dysk Google i Dropbox, do wykonywania codziennych operacji.
Usługi przechowywania w chmurze zapewniają prosty i bezpieczny sposób na zaspokojenie potrzeb pracowników zdalnych. Jednak nie tylko firmy i pracownicy korzystają z tych usług. Hakerzy znajdują sposoby na wykorzystanie zaufania do usług w chmurze i sprawiają, że ich ataki są niezwykle trudne do wykrycia.
Jak to się stało? Dowiedzmy Się!
Jak hakerzy wykorzystują usługi przechowywania w chmurze, aby uniknąć wykrycia?
Chociaż zaszyfrowane usługi przechowywania w chmurze są zazwyczaj zaufane przez użytkowników, firmom może być niezwykle trudno wykryć złośliwą aktywność. W połowie lipca 2022 r. naukowcy z Sieci Palo Alto odkrył szkodliwą aktywność wykorzystującą usługi w chmurze przez grupę o nazwie Cloaked Ursa — znaną również jako APT29 i Cozy Bear.
Uważa się, że grupa ma powiązania z rosyjskim rządem i jest odpowiedzialna za cyberataki na Narodowy Komitet Demokratyczny USA (DNC) i 2020 Hack łańcucha dostaw SolarWinds. Jest również zaangażowany w kilka kampanii cyberszpiegowskich przeciwko urzędnikom państwowym i ambasadom na całym świecie.
Kolejna kampania obejmuje korzystanie z legalnych rozwiązań do przechowywania w chmurze, takich jak Dysk Google i Dropbox, aby chronić swoje działania. Oto jak grupa przeprowadza te ataki.
Modus Operandi ataku
Atak rozpoczyna się od e-maili phishingowych wysyłanych do głośnych celów w europejskich ambasadach. Podszywa się pod zaproszenie na spotkania z ambasadorami i zawiera rzekomy program w złośliwym załączniku PDF.
Załącznik zawiera złośliwy plik HTML (EnvyScout) hostowanych w Dropbox, które ułatwiłyby dostarczanie innych złośliwych plików, w tym ładunku Cobalt Strike na urządzenie użytkownika.
Badacze spekulują, że odbiorca początkowo nie mógł uzyskać dostępu do pliku w Dropbox, prawdopodobnie z powodu restrykcyjnych zasad rządowych dotyczących aplikacji innych firm. Jednak napastnicy szybko wysłali drugi e-mail typu spear phishing z linkiem do złośliwego pliku HTML.
Zamiast korzystać z Dropbox, hakerzy polegają teraz na usługach przechowywania na Dysku Google, aby ukryć swoje działania i dostarczyć ładunki do docelowego środowiska. Tym razem strajk nie został zablokowany.
Dlaczego zagrożenie nie zostało zablokowane?
Wygląda na to, że ponieważ wiele miejsc pracy polega obecnie na aplikacjach Google, w tym na Dysku, prowadzić swoją codzienną działalność, blokowanie tych usług jest zwykle postrzegane jako nieskuteczne, aby wydajność.
Wszechobecny charakter usług w chmurze i zaufanie klientów do nich sprawiają, że to nowe zagrożenie jest niezwykle trudne, a nawet niemożliwe do wykrycia.
Jaki jest cel ataku?
Podobnie jak w przypadku wielu cyberataków, wydaje się, że celem było wykorzystanie szkodliwego oprogramowania i stworzenie backdoora do zainfekowanej sieci w celu kradzieży poufnych danych.
Jednostka 42 w Palo Alto Network zaalarmowała zarówno Dysk Google, jak i Dropbox o nadużywaniu ich usług. Poinformowano, że podjęto odpowiednie działania wobec kont zaangażowanych w szkodliwą aktywność.
Jak chronić się przed cyberatakami w chmurze
Ponieważ większość narzędzi do zwalczania złośliwego oprogramowania i wykrywania skupia się bardziej na pobranych plikach, a nie na plikach w chmurze, hakerzy zwracają się teraz do usług przechowywania w chmurze, aby uniknąć wykrycia. Chociaż takie próby phishingu nie są łatwe do wykrycia, istnieją kroki, które można podjąć, aby zmniejszyć ryzyko.
- Włącz uwierzytelnianie wieloskładnikowe dla swoich kont: Nawet jeśli poświadczenia użytkownika zostaną uzyskane w ten sposób, haker nadal będzie wymagał dostępu do urządzenia, które przeprowadza również weryfikację wieloskładnikową.
- Aplikować Przywilej najmniejszej zasady: Konto użytkownika lub urządzenie wymaga jedynie dostępu niezbędnego w konkretnym przypadku.
- Odwołaj nadmierny dostęp do poufnych informacji: Po przyznaniu użytkownikowi dostępu do aplikacji pamiętaj, aby cofnąć te uprawnienia, gdy dostęp nie jest już potrzebny.
Jaki jest klucz na wynos?
Usługi przechowywania w chmurze zmieniły zasady gry dla organizacji, aby zoptymalizować zasoby, usprawnić operacje, zaoszczędzić czas i zdjąć niektóre obowiązki związane z bezpieczeństwem.
Jednak, jak wynika z takich ataków, hakerzy zaczęli wykorzystywać infrastrukturę chmury do tworzenia ataków, które są trudniejsze do wykrycia. Złośliwy plik mógł być hostowany w Microsoft OneDrive, Amazon AWS lub dowolnej innej usłudze przechowywania w chmurze.
Zrozumienie tego nowego wektora zagrożeń jest ważne, ale najtrudniejszą częścią jest wprowadzenie kontroli w celu wykrywania go i reagowania na nie. I wygląda na to, że zmagają się z tym nawet dominujący gracze w technologii.