Postpandemické pracovní prostředí přineslo významné změny na poli bezpečnosti sítí. Organizace se při provádění svých každodenních operací začaly více spoléhat na řešení cloudových úložišť, jako je Disk Google a Dropbox.
Služby cloudového úložiště poskytují jednoduchý a bezpečný způsob, jak uspokojit potřeby vzdálené pracovní síly. Tyto služby však nevyužívají pouze podniky a zaměstnanci. Hackeři hledají způsoby, jak využít důvěru v cloudové služby a učinit jejich útoky extrémně obtížné odhalit.
jak se to stane? Pojďme to zjistit!
Jak hackeři používají služby cloudového úložiště, aby se vyhnuli detekci?
Přestože uživatelé obvykle důvěřují šifrovaným cloudovým úložištím, pro společnosti může být extrémně obtížné odhalit zákeřnou aktivitu. V polovině července 2022 výzkumníci na Palo Alto Networks objevila škodlivou aktivitu využívající cloudové služby skupinou nazvanou Cloaked Ursa – také známá jako APT29 a Cozy Bear.
Předpokládá se, že skupina má spojení s ruskou vládou a je zodpovědná za kybernetické útoky proti Demokratickému národnímu výboru USA (DNC) a 2020
Hack dodavatelského řetězce SolarWinds. Podílí se také na několika kampaních kybernetické špionáže proti vládním úředníkům a ambasádám po celém světě.Jeho další kampaň zahrnuje použití legitimních řešení cloudového úložiště, jako je Disk Google a Dropbox, aby chránili své aktivity. Zde je návod, jak skupina provádí tyto útoky.
Modus Operandi útoku
Útok začíná phishingovými e-maily rozeslanými vysoce profilovaným cílům na evropských ambasádách. Maskuje se jako pozvánky na setkání s velvyslanci a přichází s údajnou agendou ve škodlivé příloze PDF.
Příloha obsahuje škodlivý soubor HTML (EnvyScout) hostovaný v Dropboxu, který by usnadnil doručování dalších škodlivých souborů, včetně užitečného zatížení Cobalt Strike do zařízení uživatele.
Výzkumníci spekulují, že příjemce nemohl zpočátku získat přístup k souboru v Dropboxu, pravděpodobně kvůli restriktivním vládním politikám týkajícím se aplikací třetích stran. Útočníci však rychle poslali druhý spear phishingový e-mail s odkazem na škodlivý soubor HTML.
Spíše než pomocí Dropboxu se hackeři nyní spoléhají na služby úložiště Disku Google, aby skryli své akce a doručili užitečné zatížení do cílového prostředí. Tentokrát nebyla stávka zablokována.
Proč nebyla hrozba zablokována?
Zdá se, že protože mnoho pracovišť nyní spoléhá na aplikace Google, včetně Disku provádět své každodenní operace, blokování těchto služeb je obvykle považováno za neefektivní produktivita.
Všudypřítomná povaha cloudových služeb a důvěra zákazníků v ně činí tuto novou hrozbu extrémně náročným nebo dokonce nemožným odhalit.
Jaký je účel útoku?
Jako u mnoha kybernetických útoků se zdá, že záměrem bylo použít malware a vytvořit zadní vrátka do infikované sítě za účelem odcizení citlivých dat.
Jednotka 42 v síti Palo Alto upozornila Disk Google i Dropbox na zneužívání jejich služeb. Uvádí se, že proti účtům zapojeným do škodlivé aktivity byla přijata příslušná opatření.
Jak se chránit před cloudovými kyberútoky
Vzhledem k tomu, že většina antimalwarových a detekčních nástrojů se více zaměřuje na stažené soubory namísto souborů v cloudu, hackeři se nyní obracejí na služby cloudového úložiště, aby se vyhnuli detekci. Ačkoli takové pokusy o phishing není snadné odhalit, existují kroky, které můžete podniknout ke zmírnění rizik.
- Povolte pro své účty vícefaktorové ověřování: I když jsou přihlašovací údaje uživatele získány tímto způsobem, hacker by stále vyžadoval přístup k zařízení, které také provádí vícefaktorové ověření.
- Použijte Princip privilegia nejmenšího: Uživatelský účet nebo zařízení potřebují pouze dostatečný přístup nezbytný pro konkrétní případ.
- Zrušení nadměrného přístupu k citlivým informacím: Jakmile je uživateli udělen přístup k aplikaci, nezapomeňte tato oprávnění zrušit, když již přístup není potřeba.
Co je to hlavní?
Služby cloudových úložišť byly pro organizace velkou změnou hry, protože optimalizovaly zdroje, zefektivnily operace, šetřily čas a odstranily některé bezpečnostní odpovědnosti ze svých talířů.
Ale jak je zřejmé z útoků, jako jsou tyto, hackeři začali využívat cloudovou infrastrukturu k vytváření útoků, které je těžší odhalit. Škodlivý soubor mohl být hostován v Microsoft OneDrive, Amazon AWS nebo jakékoli jiné službě cloudového úložiště.
Pochopení tohoto nového vektoru hrozeb je důležité, ale nejtěžší je zavést kontrolní mechanismy, které jej odhalí a zareagují na něj. A zdá se, že i dominantní hráči v oblasti technologií s tím bojují.
