Μέλη της συμμαχίας Five Eyes (Αυστραλία, Καναδάς, Νέα Ζηλανδία, Ηνωμένο Βασίλειο και Ηνωμένες Πολιτείες) προειδοποίησαν ότι οι Ρώσοι hackers APT29 που συνδέονται με τη Ρωσική Υπηρεσία Εξωτερικών Πληροφοριών (SVR) πραγματοποιούν τώρα επιθέσεις που στοχεύουν cloud services.
Οι Ρώσοι hackers APT29 (επίσης γνωστοί ως Cozy Bear, Midnight Blizzard, The Dukes) έχουν παραβιάσει πολλές ομοσπονδιακές υπηρεσίες των USA. Η πιο σημαντική τους επίθεση ήταν ίσως η supply-chain επίθεση στη SolarWinds πριν από περισσότερα από τρία χρόνια.
Η ομάδα ασχολείται σε μεγάλο βαθμό με την cyber espionage και έχει στοχεύσει λογαριασμούς Microsoft 365 ατόμων που ανήκαν σε διάφορες οντότητες εντός των κρατών του ΝΑΤΟ. Στόχος των Ρώσων hackers ήταν κλοπή δεδομένων σχετικά με την εξωτερική πολιτική. Στο στόχαστρο έχουν βρεθεί και κυβερνήσεις, πρεσβείες και ανώτεροι αξιωματούχοι σε όλη την Europe.
See also: Hackers abuse Google Cloud Run to distribute banking trojans
Τον Ιανουάριο, η Microsoft επιβεβαίωσε ότι οι Ρώσοι hackers παραβίασαν Exchange Online accounts στελεχών της και χρηστών από άλλους οργανισμούς.
Οι Ρώσοι hackers APT29 στοχεύουν υπηρεσίες cloud
Σε μια κοινή έκθεση που εκδόθηκε από τις υπηρεσίες ασφαλείας των κρατών Five Eyes, αναφέρεται ότι οι Ρώσοι hackers στρέφονται εναντίον του cloud. Αυτή η αλλαγή οφείλεται στο ότι όλο και περισσότεροι χρήστες και επιχειρήσεις έχουν στραφεί στο cloud.
“Καθώς οι οργανισμοί συνεχίζουν να εκσυγχρονίζουν τα Recommendation τους και να μετακινούνται σε υποδομές που βασίζονται στο cloud, η SVR έχει προσαρμοστεί σε αυτές τις αλλαγές”, αναφέρουν οι υπηρεσίες.
Όπως διαπίστωσαν οι υπηρεσίες της συμμαχίας Five Eyes, οι Ρώσοι hackers APT29 αποκτούν πλέον πρόσβαση στα περιβάλλοντα cloud των στόχων τους, χρησιμοποιώντας service account credentials, που έχουν εκτεθεί μέσω άλλων attacks. Επιπλέον, χρησιμοποιούν αδρανείς εταιρικούς λογαριασμούς που τους επιτρέπουν να ανακτήσουν την πρόσβαση μετά από επαναφορά κωδικού πρόσβασης σε όλο το σύστημα.
Επίσης, η αρχική παραβίαση μπορεί να περιλαμβάνει χρήση κλεμμένων access tokens που τους επιτρέπουν να κλέβουν λογαριασμούς, violated routers, MFA fatigue για παράκαμψη ελέγχου ταυτότητας πολλαπλών παραγόντων και εγγραφή των δικών τους συσκευών ως νέες συσκευές στα cloud tenants των θυμάτων.
See also: FBot malware targets cloud services
Επιθέσεις στο cloud
Οι επιθέσεις cloud μπορούν να επηρεάσουν τους χρήστες και τις επιχειρήσεις με διάφορους τρόπους. Πρώτον, μπορούν να προκαλέσουν leak data, καθώς οι hackers μπορούν να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες που αποθηκεύονται στο cloud.
Δεύτερον, μπορεί να προκληθεί διακοπή υπηρεσιών. Αυτό σημαίνει ότι οι χρήστες και οι επιχειρήσεις μπορεί να χάσουν την πρόσβαση στα δεδομένα τους ή στις υπηρεσίες τους για μια περίοδο.
Τρίτον, οι επιθέσεις cloud μπορούν να οδηγήσουν σε economic losses. Αυτό μπορεί να οφείλεται στο κόστος αποκατάστασης των συστημάτων μετά από μια attack, στην απώλεια εμπιστοσύνης των πελατών και στην επιβολή προστίμων για παραβίαση των νόμων περί προστασίας δεδομένων.
Πώς να ανιχνεύσετε επιθέσεις των Ρώσων hackers στο cloud;
Αφού αποκτήσουν πρόσβαση, οι Ρώσοι hackers χρησιμοποιούν εξελιγμένα εργαλεία όπως το κακόβουλο λογισμικό MagicWeb, για να αποφύγουν τον εντοπισμό. Κυρίως στοχεύουν κυβερνητικούς και κρίσιμους οργανισμούς σε Europe, Ηνωμένες Πολιτείες και Ασία.
Κρίνοντας από τα παραπάνω, είναι απαραίτητο να ληφθούν μέτρα για την αποτροπή της αρχικής πρόσβασης των hackers.
See also: Barclays' Cybersecurity & Cloud Predictions 2024
Network defenders are invited to εφαρμόζουν το MFA όπου είναι δυνατόν, χρησιμοποιώντας παράλληλα strong passwords σε όλους τους accounts. Επιπλέον, απαραίτητη είναι η αρχή των ελάχιστων προνομίων για όλους τους λογαριασμούς συστήματος και υπηρεσιών.
Θα πρέπει επίσης να επιτρέπεται το device enrollment μόνο για εξουσιοδοτημένες συσκευές and to παρακολουθούνται συνεχώς το δίκτυο και τα συστήματα για παραβιάσεις ασφάλειας.
Source : www.bleepingcomputer.com
