Το περιβάλλον εργασίας μετά την πανδημία έχει επιφέρει σημαντικές αλλαγές στο τοπίο της ασφάλειας του δικτύου. Οι οργανισμοί έχουν αρχίσει να βασίζονται περισσότερο σε λύσεις αποθήκευσης cloud, όπως το Google Drive και το Dropbox, για να πραγματοποιούν τις καθημερινές τους λειτουργίες.

Οι υπηρεσίες αποθήκευσης cloud παρέχουν έναν απλό και ασφαλή τρόπο για την κάλυψη των αναγκών ενός απομακρυσμένου εργατικού δυναμικού. Αλλά δεν είναι μόνο οι επιχειρήσεις και οι εργαζόμενοι που επωφελούνται από αυτές τις υπηρεσίες. Οι χάκερ βρίσκουν τρόπους να αξιοποιήσουν την εμπιστοσύνη στις υπηρεσίες cloud και να κάνουν τις επιθέσεις τους εξαιρετικά δύσκολο να εντοπιστούν.

Πώς συμβαίνει; Ας ανακαλύψουμε!

Πώς χρησιμοποιούν οι χάκερ τις υπηρεσίες αποθήκευσης Cloud για να αποφύγουν τον εντοπισμό;

Αν και οι κρυπτογραφημένες υπηρεσίες αποθήκευσης cloud είναι συνήθως αξιόπιστες από τους χρήστες, μπορεί να είναι εξαιρετικά δύσκολο για τις εταιρείες να ανιχνεύσουν κακόβουλη δραστηριότητα. Στα μέσα Ιουλίου 2022, ερευνητές στο

Δίκτυα Palo Alto ανακάλυψε κακόβουλη δραστηριότητα αξιοποιώντας υπηρεσίες cloud από μια ομάδα που ονομάζεται Cloaked Ursa—γνωστή επίσης ως APT29 και Cozy Bear.

Η ομάδα πιστεύεται ότι έχει διασυνδέσεις με τη ρωσική κυβέρνηση και είναι υπεύθυνη για επιθέσεις στον κυβερνοχώρο κατά της Εθνικής Δημοκρατικής Επιτροπής των ΗΠΑ (DNC) και του 2020 Hack στην εφοδιαστική αλυσίδα της SolarWinds. Συμμετέχει επίσης σε πολλές εκστρατείες κατασκοπείας στον κυβερνοχώρο εναντίον κυβερνητικών αξιωματούχων και πρεσβειών σε όλο τον κόσμο.

Η επόμενη καμπάνια του περιλαμβάνει τη χρήση νόμιμων λύσεων αποθήκευσης cloud, όπως το Google Drive και το Dropbox για να προστατεύσει τις δραστηριότητές τους. Εδώ είναι πώς η ομάδα διεξάγει αυτές τις επιθέσεις.

Το Modus Operandi της Επίθεσης

Η επίθεση ξεκινά με μηνύματα ηλεκτρονικού ψαρέματος που αποστέλλονται σε στόχους υψηλού προφίλ σε ευρωπαϊκές πρεσβείες. Μεταμφιέζεται ως προσκλήσεις σε συναντήσεις με πρεσβευτές και συνοδεύεται από μια υποτιθέμενη ατζέντα σε ένα κακόβουλο συνημμένο PDF.

Το συνημμένο περιέχει ένα κακόβουλο αρχείο HTML (EnvyScout) φιλοξενείται στο Dropbox που θα διευκόλυνε την παράδοση άλλων κακόβουλων αρχείων, συμπεριλαμβανομένου ενός ωφέλιμου φορτίου Cobalt Strike στη συσκευή του χρήστη.

Οι ερευνητές εικάζουν ότι ο παραλήπτης δεν μπορούσε αρχικά να έχει πρόσβαση στο αρχείο στο Dropbox, πιθανώς λόγω περιοριστικών κυβερνητικών πολιτικών για εφαρμογές τρίτων. Ωστόσο, οι επιτιθέμενοι έσπευσαν να στείλουν ένα δεύτερο email phishing με έναν σύνδεσμο προς το κακόβουλο αρχείο HTML.

Αντί να χρησιμοποιούν το Dropbox, οι χάκερ βασίζονται πλέον στις υπηρεσίες αποθήκευσης του Google Drive για να κρύψουν τις ενέργειές τους και να παραδώσουν ωφέλιμα φορτία στο περιβάλλον-στόχο. Αυτή τη φορά, η απεργία δεν μπλοκαρίστηκε.

Γιατί δεν μπλοκαρίστηκε η απειλή;

Φαίνεται ότι δεδομένου ότι πολλοί χώροι εργασίας βασίζονται πλέον στις εφαρμογές της Google, συμπεριλαμβανομένου του Drive, για να διεξάγουν τις καθημερινές τους λειτουργίες, ο αποκλεισμός αυτών των υπηρεσιών θεωρείται συνήθως αναποτελεσματικός παραγωγικότητα.

Η πανταχού παρούσα φύση των υπηρεσιών cloud και η εμπιστοσύνη των πελατών σε αυτές καθιστούν αυτή τη νέα απειλή εξαιρετικά δύσκολη έως και αδύνατο να εντοπιστεί.

Ποιος είναι ο σκοπός της επίθεσης;

Όπως πολλές κυβερνοεπιθέσεις, φαίνεται ότι η πρόθεση ήταν να χρησιμοποιηθεί κακόβουλο λογισμικό και να δημιουργηθεί μια κερκόπορτα σε ένα μολυσμένο δίκτυο για την κλοπή ευαίσθητων δεδομένων.

Η μονάδα 42 του δικτύου Palo Alto έχει ειδοποιήσει τόσο το Google Drive όσο και το Dropbox για την κατάχρηση των υπηρεσιών τους. Έχει αναφερθεί ότι ελήφθησαν τα κατάλληλα μέτρα κατά λογαριασμών που εμπλέκονται στην κακόβουλη δραστηριότητα.

Πώς να προστατευτείτε από τις κυβερνοεπιθέσεις στο Cloud

Δεδομένου ότι τα περισσότερα εργαλεία κατά του κακόβουλου λογισμικού και ανίχνευσης εστιάζουν περισσότερο στα ληφθέντα αρχεία αντί στα αρχεία στο cloud, οι χάκερ στρέφονται τώρα στις υπηρεσίες αποθήκευσης cloud για να αποφύγουν τον εντοπισμό. Παρόλο που τέτοιες απόπειρες phishing δεν είναι εύκολο να εντοπιστούν, υπάρχουν βήματα που μπορείτε να ακολουθήσετε για να μειώσετε τους κινδύνους.

  • Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων για τους λογαριασμούς σας: Ακόμα κι αν τα διαπιστευτήρια χρήστη αποκτηθούν με αυτόν τον τρόπο, ο χάκερ θα εξακολουθεί να απαιτεί πρόσβαση στη συσκευή που εκτελεί και την επικύρωση πολλαπλών παραγόντων.
  • Εφαρμόστε το Privilege of Least Principle: Ένας λογαριασμός χρήστη ή συσκευή χρειάζεται μόνο αρκετή πρόσβαση που είναι απαραίτητη για μια συγκεκριμένη περίπτωση.
  • Ανάκληση υπερβολικής πρόσβασης σε ευαίσθητες πληροφορίες: Μόλις εκχωρηθεί σε έναν χρήστη πρόσβαση σε μια εφαρμογή, θυμηθείτε να ανακαλέσετε αυτά τα δικαιώματα όταν η πρόσβαση δεν είναι πλέον απαραίτητη.

Τι είναι το βασικό πακέτο;

Οι υπηρεσίες αποθήκευσης cloud έχουν αλλάξει σημαντικά τα παιχνίδια για τους οργανισμούς για τη βελτιστοποίηση των πόρων, τον εξορθολογισμό των λειτουργιών, την εξοικονόμηση χρόνου και την αφαίρεση ορισμένων ευθυνών ασφαλείας από το πιάτο τους.

Όμως, όπως είναι σαφές από επιθέσεις σαν αυτές, οι χάκερ έχουν αρχίσει να αξιοποιούν την υποδομή cloud για να δημιουργήσουν επιθέσεις που είναι πιο δύσκολο να εντοπιστούν. Το κακόβουλο αρχείο θα μπορούσε να έχει φιλοξενηθεί στο Microsoft OneDrive, στο Amazon AWS ή σε οποιαδήποτε άλλη υπηρεσία αποθήκευσης cloud.

Η κατανόηση αυτού του νέου φορέα απειλής είναι σημαντική, αλλά το δύσκολο μέρος είναι να τεθούν σε εφαρμογή έλεγχοι για τον εντοπισμό και την απόκριση σε αυτό. Και φαίνεται ότι ακόμη και οι κυρίαρχοι παίκτες της τεχνολογίας παλεύουν με αυτό.