Μέλη της συμμαχίας Five Eyes (Αυστραλία, Καναδάς, Νέα Ζηλανδία, Ηνωμένο Βασίλειο και Ηνωμένες Πολιτείες) προειδοποίησαν ότι οι Ρώσοι hackers APT29 που συνδέονται με τη Ρωσική Υπηρεσία Εξωτερικών Πληροφοριών (SVR) πραγματοποιούν τώρα επιθέσεις που στοχεύουν cloud υπηρεσίες.
Οι Ρώσοι hackers APT29 (επίσης γνωστοί ως Cozy Bear, Midnight Blizzard, The Dukes) έχουν παραβιάσει πολλές ομοσπονδιακές υπηρεσίες των ΗΠΑ. Η πιο σημαντική τους επίθεση ήταν ίσως η supply-chain επίθεση στη SolarWinds πριν από περισσότερα από τρία χρόνια.
Η ομάδα ασχολείται σε μεγάλο βαθμό με την κυβερνοκατασκοπεία και έχει στοχεύσει λογαριασμούς Microsoft 365 ατόμων που ανήκαν σε διάφορες οντότητες εντός των κρατών του ΝΑΤΟ. Στόχος των Ρώσων hackers ήταν κλοπή δεδομένων σχετικά με την εξωτερική πολιτική. Στο στόχαστρο έχουν βρεθεί και κυβερνήσεις, πρεσβείες και ανώτεροι αξιωματούχοι σε όλη την Ευρώπη.
Δείτε επίσης: Hackers καταχρώνται το Google Cloud Run για διανομή banking trojans
Τον Ιανουάριο, η Microsoft επιβεβαίωσε ότι οι Ρώσοι hackers παραβίασαν Exchange Online λογαριασμούς στελεχών της και χρηστών από άλλους οργανισμούς.
Οι Ρώσοι hackers APT29 στοχεύουν υπηρεσίες cloud
Σε μια κοινή έκθεση που εκδόθηκε από τις υπηρεσίες ασφαλείας των κρατών Five Eyes, αναφέρεται ότι οι Ρώσοι hackers στρέφονται εναντίον του cloud. Αυτή η αλλαγή οφείλεται στο ότι όλο και περισσότεροι χρήστες και επιχειρήσεις έχουν στραφεί στο cloud.
“Καθώς οι οργανισμοί συνεχίζουν να εκσυγχρονίζουν τα συστήματά τους και να μετακινούνται σε υποδομές που βασίζονται στο cloud, η SVR έχει προσαρμοστεί σε αυτές τις αλλαγές”, αναφέρουν οι υπηρεσίες.
Όπως διαπίστωσαν οι υπηρεσίες της συμμαχίας Five Eyes, οι Ρώσοι hackers APT29 αποκτούν πλέον πρόσβαση στα περιβάλλοντα cloud των στόχων τους, χρησιμοποιώντας service account credentials, που έχουν εκτεθεί μέσω άλλων επιθέσεων. Επιπλέον, χρησιμοποιούν αδρανείς εταιρικούς λογαριασμούς που τους επιτρέπουν να ανακτήσουν την πρόσβαση μετά από επαναφορά κωδικού πρόσβασης σε όλο το σύστημα.
Επίσης, η αρχική παραβίαση μπορεί να περιλαμβάνει χρήση κλεμμένων access tokens που τους επιτρέπουν να κλέβουν λογαριασμούς, παραβιασμένους routers, MFA fatigue για παράκαμψη ελέγχου ταυτότητας πολλαπλών παραγόντων και εγγραφή των δικών τους συσκευών ως νέες συσκευές στα cloud tenants των θυμάτων.
Δείτε επίσης: Το FBot malware στοχεύει cloud υπηρεσίες
Επιθέσεις στο cloud
Οι επιθέσεις cloud μπορούν να επηρεάσουν τους χρήστες και τις επιχειρήσεις με διάφορους τρόπους. Πρώτον, μπορούν να προκαλέσουν διαρροή δεδομένων, καθώς οι hackers μπορούν να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες που αποθηκεύονται στο cloud.
Δεύτερον, μπορεί να προκληθεί διακοπή υπηρεσιών. Αυτό σημαίνει ότι οι χρήστες και οι επιχειρήσεις μπορεί να χάσουν την πρόσβαση στα δεδομένα τους ή στις υπηρεσίες τους για μια περίοδο.
Τρίτον, οι επιθέσεις cloud μπορούν να οδηγήσουν σε οικονομικές απώλειες. Αυτό μπορεί να οφείλεται στο κόστος αποκατάστασης των συστημάτων μετά από μια επίθεση, στην απώλεια εμπιστοσύνης των πελατών και στην επιβολή προστίμων για παραβίαση των νόμων περί προστασίας δεδομένων.
Πώς να ανιχνεύσετε επιθέσεις των Ρώσων hackers στο cloud;
Αφού αποκτήσουν πρόσβαση, οι Ρώσοι hackers χρησιμοποιούν εξελιγμένα εργαλεία όπως το κακόβουλο λογισμικό MagicWeb, για να αποφύγουν τον εντοπισμό. Κυρίως στοχεύουν κυβερνητικούς και κρίσιμους οργανισμούς σε Ευρώπη, Ηνωμένες Πολιτείες και Ασία.
Κρίνοντας από τα παραπάνω, είναι απαραίτητο να ληφθούν μέτρα για την αποτροπή της αρχικής πρόσβασης των hackers.
Δείτε επίσης: Προβλέψεις της Barclays για Κυβερνοασφάλεια & Cloud το 2024
Οι υπερασπιστές δικτύου καλούνται να εφαρμόζουν το MFA όπου είναι δυνατόν, χρησιμοποιώντας παράλληλα ισχυρούς κωδικούς πρόσβασης σε όλους τους λογαριασμούς. Επιπλέον, απαραίτητη είναι η αρχή των ελάχιστων προνομίων για όλους τους λογαριασμούς συστήματος και υπηρεσιών.
Θα πρέπει επίσης να επιτρέπεται το device enrollment μόνο για εξουσιοδοτημένες συσκευές και να παρακολουθούνται συνεχώς το δίκτυο και τα συστήματα για παραβιάσεις ασφάλειας.
Πηγή: www.bleepingcomputer.com