Delovno okolje po pandemiji je prineslo pomembne spremembe na področju varnosti omrežja. Organizacije so se pri izvajanju vsakodnevnih operacij začele bolj zanašati na rešitve za shranjevanje v oblaku, kot sta Google Drive in Dropbox.
Storitve za shranjevanje v oblaku zagotavljajo preprost in varen način za zadovoljevanje potreb oddaljene delovne sile. Teh storitev pa ne izkoriščajo le podjetja in zaposleni. Hekerji iščejo načine, kako povečati zaupanje v storitve v oblaku in narediti njihove napade izjemno težko odkrite.
Kako se zgodi? Pa ugotovimo!
Kako hekerji uporabljajo storitve shranjevanja v oblaku, da se izognejo odkrivanju?
Čeprav uporabniki običajno zaupajo šifriranim storitvam za shranjevanje v oblaku, je lahko podjetjem zelo težko odkriti zlonamerno dejavnost. Sredi julija 2022 so raziskovalci na Palo Alto Networks je odkril zlonamerno dejavnost, ki izkorišča storitve v oblaku s strani skupine, imenovane Cloaked Ursa, znane tudi kot APT29 in Cozy Bear.
Skupina naj bi imela povezave z rusko vlado in je odgovorna za kibernetske napade na Demokratični nacionalni odbor ZDA (DNC) in 2020
Vdor v dobavno verigo SolarWinds. Vpleten je tudi v več kampanj kibernetskega vohunjenja proti vladnim uradnikom in veleposlaništvom po vsem svetu.Njegova naslednja kampanja vključuje uporabo legitimnih rešitev za shranjevanje v oblaku, kot sta Google Drive in Dropbox, za zaščito njihovih dejavnosti. Tukaj je opisano, kako skupina izvaja te napade.
Način delovanja napada
Napad se začne z e-poštnimi sporočili z lažnim predstavljanjem, poslanimi visoko profiliranim tarčam na evropskih veleposlaništvih. Prekriva se kot vabila na srečanja z veleposlaniki in ima domnevni dnevni red v zlonamerni priponki PDF.
Priloga vsebuje zlonamerno datoteko HTML (EnvyScout), ki gostuje v Dropboxu, kar bi olajšalo dostavo drugih zlonamernih datotek, vključno s tovorom Cobalt Strike, v uporabnikovo napravo.
Raziskovalci ugibajo, da prejemnik sprva ni mogel dostopati do datoteke v Dropboxu, verjetno zaradi omejevalnih vladnih politik glede aplikacij tretjih oseb. Vendar so napadalci hitro poslali drugo lažno lažno e-poštno sporočilo s povezavo do zlonamerne datoteke HTML.
Namesto uporabe Dropboxa se hekerji zdaj zanašajo na storitve shranjevanja Google Drive, da skrijejo svoja dejanja in dostavijo tovor v ciljno okolje. Tokrat stavka ni bila blokirana.
Zakaj grožnja ni bila blokirana?
Zdi se, da se veliko delovnih mest zdaj zanaša na Googlove aplikacije, vključno z Driveom opravljajo svoje vsakodnevne operacije, se blokiranje teh storitev običajno šteje za neučinkovito produktivnost.
Zaradi vseprisotne narave storitev v oblaku in zaupanja strank vanje je ta nova grožnja izjemno zahtevna ali celo nemogoča za odkrivanje.
Kakšen je namen napada?
Kot pri mnogih kibernetskih napadih se zdi, da je bil namen uporabiti zlonamerno programsko opremo in ustvariti stranska vrata v okuženo omrežje za krajo občutljivih podatkov.
Enota 42 pri omrežju Palo Alto je opozorila Google Drive in Dropbox na zlorabo njunih storitev. Poročajo, da so bili sprejeti ustrezni ukrepi proti računom, vpletenim v zlonamerno dejavnost.
Kako se zaščititi pred kibernetskimi napadi v oblaku
Ker se večina orodij za zaščito pred zlonamerno programsko opremo in orodij za odkrivanje bolj osredotoča na prenesene datoteke namesto na datoteke v oblaku, se hekerji zdaj obračajo na storitve za shranjevanje v oblaku, da bi se izognili odkrivanju. Čeprav takšnih poskusov lažnega predstavljanja ni lahko odkriti, obstajajo koraki, s katerimi lahko zmanjšate tveganje.
- Omogočite večfaktorsko avtentikacijo za svoje račune: Tudi če so uporabniške poverilnice pridobljene na ta način, bi heker še vedno potreboval dostop do naprave, ki izvaja tudi večfaktorsko preverjanje.
- Uporabite Privilegij najmanjšega načela: Uporabniški račun ali naprava potrebuje le dovolj dostopa, ki je potreben za določen primer.
- Preklic čezmernega dostopa do občutljivih informacij: Ko je uporabniku odobren dostop do aplikacije, ne pozabite preklicati teh pravic, ko dostop ni več potreben.
Kaj je ključna ugotovitev?
Storitve shranjevanja v oblaku so močno spremenile igro za organizacije, saj so optimizirale vire, poenostavile operacije, prihranile čas in odvzele nekatere varnostne odgovornosti.
Toda kot je razvidno iz tovrstnih napadov, so hekerji začeli izkoriščati infrastrukturo v oblaku za izdelavo napadov, ki jih je težje odkriti. Zlonamerna datoteka bi lahko gostovala v Microsoft OneDrive, Amazon AWS ali kateri koli drugi storitvi za shranjevanje v oblaku.
Razumevanje tega novega vektorja groženj je pomembno, vendar je težji del vzpostavitev nadzora za odkrivanje in odzivanje nanj. In zdi se, da se s tem spopadajo celo prevladujoči igralci v tehnologiji.
