Μέλη της συμμαχίας πληροφοριών Five Eyes (FVEY) προειδοποίησαν σήμερα ότι οι χάκερ της Ρωσικής Υπηρεσίας Εξωτερικών Πληροφοριών (SVR) που παρακολουθούνται ως APT29 στοχεύουν πλέον όλο και περισσότερο τις υπηρεσίες cloud των θυμάτων τους.
Το APT29 παραβίασε πολλές ομοσπονδιακές υπηρεσίες των ΗΠΑ μετά την επίθεση στην αλυσίδα εφοδιασμού της SolarWinds που ενορχήστρωσαν πριν από περισσότερα από τρία χρόνια.
Οι Ρώσοι κυβερνοκατάσκοποι παραβίασαν επίσης λογαριασμούς Microsoft 365 που ανήκαν σε διάφορες οντότητες εντός των κρατών του ΝΑΤΟ για να αποκτήσουν δεδομένα σχετικά με την εξωτερική πολιτική και στόχευσαν κυβερνήσεις, πρεσβείες και ανώτερους αξιωματούχους σε όλη την Ευρώπη που σχετίζονται με μια σειρά επιθέσεων phishing.
Πιο πρόσφατα, η Microsoft επιβεβαίωσε τον Ιανουάριο ότι η ομάδα χάκερ της Ρωσικής Υπηρεσίας Εξωτερικών Πληροφοριών παραβίασε τους λογαριασμούς Exchange Online των στελεχών της και των χρηστών από άλλους οργανισμούς τον Νοέμβριο του 2023.
Υπηρεσίες cloud υπό επίθεση
Σήμερα, μια κοινή συμβουλευτική που εκδόθηκε από το Εθνικό Κέντρο Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC), την NSA, την CISA, το FBI και τις υπηρεσίες κυβερνοασφάλειας από την Αυστραλία, τον Καναδά και τη Νέα Ζηλανδία προειδοποίησε ότι η ρωσική ομάδα απειλών προχωρά σταδιακά σε επιθέσεις κατά της υποδομής cloud. .
«Καθώς οι οργανισμοί συνεχίζουν να εκσυγχρονίζουν τα συστήματά τους και να μετακινούνται σε υποδομές που βασίζονται σε cloud, το SVR έχει προσαρμοστεί σε αυτές τις αλλαγές στο λειτουργικό περιβάλλον», η συμβουλευτική
διαβάζει
.
«Πρέπει να προχωρήσουν πέρα από τα παραδοσιακά μέσα αρχικής πρόσβασης, όπως η εκμετάλλευση ευπαθειών λογισμικού σε ένα δίκτυο εσωτερικής εγκατάστασης, και αντ’ αυτού να στοχεύσουν τις ίδιες τις υπηρεσίες cloud».
Όπως διαπίστωσαν οι υπηρεσίες Five Eyes, οι χάκερ του APT29 αποκτούν πλέον πρόσβαση στα περιβάλλοντα cloud των στόχων τους χρησιμοποιώντας διαπιστευτήρια λογαριασμού υπηρεσίας πρόσβασης που διακυβεύονται σε επιθέσεις ωμής επιβολής ή ψεκασμού κωδικού πρόσβασης.
Επιπλέον, χρησιμοποιούν αδρανείς λογαριασμούς που δεν έχουν καταργηθεί ποτέ μετά την αποχώρηση των χρηστών από τους στοχευμένους οργανισμούς, δίνοντάς τους επίσης τη δυνατότητα να ανακτήσουν την πρόσβαση μετά από επαναφορά κωδικού πρόσβασης σε όλο το σύστημα.
Τα αρχικά διανύσματα παραβίασης σύννεφων του APT29 περιλαμβάνουν επίσης τη χρήση κλεμμένων διακριτικών πρόσβασης που τους επιτρέπουν να κλέβουν λογαριασμούς χωρίς να χρησιμοποιούν διαπιστευτήρια, παραβιασμένους δρομολογητές κατοικιών για την αντικατάσταση της κακόβουλης δραστηριότητάς τους, κόπωση MFA για παράκαμψη ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και εγγραφή των δικών τους συσκευών ως νέες συσκευές στους ενοικιαστές cloud των θυμάτων
Αφού αποκτήσουν αρχική πρόσβαση, οι χάκερ SVR χρησιμοποιούν εξελιγμένα εργαλεία όπως το κακόβουλο λογισμικό MagicWeb (το οποίο τους επιτρέπει να ελέγχουν την ταυτότητα ως οποιοσδήποτε χρήστης σε ένα παραβιασμένο δίκτυο) για να αποφύγουν τον εντοπισμό στα δίκτυα των θυμάτων, κυρίως κυβερνητικούς και κρίσιμους οργανισμούς σε Ευρώπη, Ηνωμένες Πολιτείες και Ασία .
Πώς να ανιχνεύσετε επιθέσεις στο σύννεφο SVR
Ως εκ τούτου, ο μετριασμός των διανυσμάτων αρχικής πρόσβασης του APT29 θα πρέπει να βρίσκεται στην κορυφή της λίστας για τους υπερασπιστές δικτύου όταν εργάζονται για τον αποκλεισμό των επιθέσεών τους.
Συνιστάται στους υπερασπιστές δικτύου να επιτρέπουν στο MFA όπου και όποτε είναι δυνατόν, σε συνδυασμό με ισχυρούς κωδικούς πρόσβασης, να χρησιμοποιούν την αρχή του ελάχιστου προνομίου για όλους τους λογαριασμούς συστήματος και υπηρεσιών, να δημιουργούν λογαριασμούς υπηρεσίας καναρίνι για να ανιχνεύουν γρηγορότερους συμβιβασμούς και να μειώνουν τη διάρκεια ζωής για να αποκλείουν τη χρήση κλεμμένων κουπονιών συνεδρίας.
Θα πρέπει επίσης να επιτρέπουν την εγγραφή συσκευών μόνο για εξουσιοδοτημένες συσκευές και να παρακολουθούν για δείκτες συμβιβασμού που θα απέδιδαν τα λιγότερα ψευδώς θετικά αποτελέσματα κατά την παρακολούθηση για παραβιάσεις ασφάλειας.
“Για τους οργανισμούς που έχουν μετακινηθεί σε υποδομές cloud, μια πρώτη γραμμή άμυνας ενάντια σε έναν παράγοντα όπως το SVR θα πρέπει να είναι η προστασία από τα TTP του SVR για αρχική πρόσβαση”, δήλωσαν οι σύμμαχοι Five Eyes.
«Ακολουθώντας τους μετριασμούς που περιγράφονται σε αυτή τη συμβουλευτική, οι οργανισμοί θα είναι σε ισχυρότερη θέση να αμυνθούν έναντι αυτής της απειλής».
VIA:
bleepingcomputer.com
