Darbo aplinka po pandemijos atnešė didelių pokyčių tinklo saugumo srityje. Organizacijos, vykdydamos savo kasdienes operacijas, pradėjo labiau pasikliauti debesų saugyklos sprendimais, pvz., „Google“ disku ir „Dropbox“.
Saugojimo debesyje paslaugos yra paprastas ir saugus būdas patenkinti nuotolinės darbo jėgos poreikius. Tačiau šiomis paslaugomis naudojasi ne tik įmonės ir darbuotojai. Piratai randa būdų, kaip padidinti pasitikėjimą debesijos paslaugomis ir padaryti jų atakas itin sunkiai aptinkamas.
Kaip tai atsitinka? Išsiaiškinkime!
Kaip įsilaužėliai naudoja saugyklos debesyje paslaugas, kad išvengtų aptikimo?
Nors vartotojai dažniausiai pasitiki šifruotomis debesų saugyklos paslaugomis, įmonėms gali būti labai sunku aptikti kenkėjišką veiklą. 2022 m. liepos viduryje tyrėjai Palo Alto tinklai aptiko kenkėjišką veiklą, naudojančią debesijos paslaugas, kurią vykdo grupė Cloaked Ursa, taip pat žinoma kaip APT29 ir Cozy Bear.
Manoma, kad grupuotė turi ryšių su Rusijos vyriausybe ir yra atsakinga už kibernetines atakas prieš JAV demokratų nacionalinį komitetą (DNC) ir 2020 m.
„SolarWinds“ tiekimo grandinės įsilaužimas. Ji taip pat dalyvauja keliose kibernetinio šnipinėjimo kampanijose prieš vyriausybės pareigūnus ir ambasadas visame pasaulyje.Kita kampanija apima teisėtų debesų saugyklos sprendimų, tokių kaip „Google“ diskas ir „Dropbox“, naudojimą, kad apsaugotų savo veiklą. Štai kaip grupė vykdo šias atakas.
Atakos veikimo būdas
Išpuolis prasideda nuo sukčiavimo el. laiškų, išsiųstų aukšto lygio taikiniams Europos ambasadose. Jis vaizduojamas kaip kvietimas į susitikimus su ambasadoriais ir pateikiama su numanoma darbotvarke kenkėjiškame PDF priede.
Priede yra kenkėjiškas HTML failas (EnvyScout) priglobtas „Dropbox“, kuris palengvintų kitų kenkėjiškų failų, įskaitant „Cobalt Strike“ naudingąjį apkrovą, pristatymą į vartotojo įrenginį.
Tyrėjai spėja, kad gavėjas iš pradžių negalėjo pasiekti failo „Dropbox“, tikriausiai dėl ribojančios vyriausybės politikos trečiųjų šalių programoms. Tačiau užpuolikai suskubo pasiųsti antrasis sukčiavimo el. laiškas su nuoroda į kenkėjišką HTML failą.
Užuot naudoję „Dropbox“, įsilaužėliai dabar pasikliauja „Google“ disko saugyklos paslaugomis, kad paslėptų savo veiksmus ir pristatytų naudingus krovinius į tikslinę aplinką. Šį kartą streikas nebuvo užblokuotas.
Kodėl grėsmė nebuvo užblokuota?
Atrodo, kad daugelis darbo vietų dabar priklauso nuo „Google“ programų, įskaitant Diską atlikti savo kasdienes operacijas, šių paslaugų blokavimas paprastai laikomas neveiksmingu produktyvumas.
Debesijos paslaugų visur paplitęs pobūdis ir klientų pasitikėjimas jomis daro šią naują grėsmę itin sudėtingą arba net neįmanoma ją aptikti.
Koks yra puolimo tikslas?
Kaip ir daugelio kibernetinių atakų atveju, atrodo, kad buvo siekiama panaudoti kenkėjiškas programas ir sukurti užpakalines duris į užkrėstą tinklą, kad pavogtų neskelbtinus duomenis.
„Palo Alto“ tinklo 42 skyrius įspėjo „Google“ diską ir „Dropbox“ apie piktnaudžiavimą jų paslaugomis. Pranešama, kad buvo imtasi atitinkamų veiksmų prieš paskyras, susijusias su kenkėjiška veikla.
Kaip apsisaugoti nuo debesies kibernetinių atakų
Kadangi dauguma apsaugos nuo kenkėjiškų programų ir aptikimo įrankių daugiau dėmesio skiria atsisiųstiems failams, o ne failams debesyje, įsilaužėliai dabar kreipiasi į debesies saugojimo paslaugas, kad išvengtų aptikimo. Nors tokius sukčiavimo bandymus aptikti nėra lengva, yra veiksmų, kurių galite imtis norėdami sumažinti riziką.
- Įgalinkite kelių veiksnių autentifikavimą savo paskyroms: Net jei tokiu būdu gaunami vartotojo kredencialai, įsilaužėliui vis tiek reikės prieigos prie įrenginio, kuris taip pat atlieka kelių veiksnių patvirtinimą.
- Taikykite Mažiausio principo privilegija: Vartotojo paskyrai arba įrenginiui reikia tik pakankamai prieigos, reikalingos konkrečiam atvejui.
- Atšaukti pernelyg didelę prieigą prie neskelbtinos informacijos: Kai vartotojui bus suteikta prieiga prie programos, nepamirškite atšaukti šių privilegijų, kai prieigos nebereikia.
Kas yra raktas?
Debesų saugyklos paslaugos buvo didžiulis organizacijoms skirtas keitiklis, siekiant optimizuoti išteklius, supaprastinti operacijas, sutaupyti laiko ir perimti kai kurias saugumo pareigas.
Tačiau, kaip matyti iš tokių atakų, įsilaužėliai pradėjo naudoti debesų infrastruktūrą, kad sukurtų atakas, kurias sunkiau aptikti. Kenkėjiškas failas galėjo būti talpinamas „Microsoft OneDrive“, „Amazon AWS“ ar bet kurioje kitoje debesies saugyklos paslaugoje.
Suprasti šį naują grėsmės vektorių yra svarbu, tačiau sudėtingiausia yra įdiegti valdiklius, kad būtų galima jį aptikti ir į jį reaguoti. Ir atrodo, kad net dominuojantys technologijų žaidėjai su tuo kovoja.
