Окружење на радном месту након пандемије донело је значајне промене у безбедносном окружењу мреже. Организације су почеле да се више ослањају на решења за складиштење у облаку, као што су Гоогле Дриве и Дропбок, да би обављале своје свакодневне операције.

Услуге складиштења у облаку пружају једноставан и безбедан начин за задовољавање потреба удаљене радне снаге. Али нису само предузећа и запослени ти који користе ове услуге. Хакери проналазе начине да искористе поверење у услуге у облаку и учине своје нападе изузетно тешким за откривање.

Како се то дешава? Хајде да сазнамо!

Како хакери користе услуге складиштења у облаку да би избегли откривање?

Иако корисници обично верују услугама шифрованог складиштења у облаку, компанијама може бити изузетно тешко да открију злонамерне активности. Средином јула 2022. истраживачи на Пало Алто Нетворкс открили злонамерне активности које користе услуге у облаку групе под називом Цлоакед Урса—познате и као АПТ29 и Цози Беар.

Верује се да група има везе са руском владом и да је одговорна за сајбер нападе на Амерички демократски национални комитет (ДНЦ) и 2020.

instagram viewer
Хак на ланац снабдевања СоларВиндс-а. Такође је укључен у неколико кампања сајбер шпијунаже против владиних званичника и амбасада широм света.

Његова следећа кампања укључује коришћење легитимних решења за складиштење у облаку као што су Гоогле Дриве и Дропбок за заштиту њихових активности. Ево како група спроводи ове нападе.

Модус Операнди оф тхе Аттацк

Напад почиње са пхисхинг имејловима који се шаљу високим циљевима у европским амбасадама. Маскира се као позивнице на састанке са амбасадорима и долази са наводним дневним редом у злонамерном ПДФ прилогу.

Прилог садржи злонамерну ХТМЛ датотеку (ЕнвиСцоут) који се налази у Дропбок-у који би олакшао испоруку других злонамерних датотека, укључујући Цобалт Стрике корисни терет на уређај корисника.

Истраживачи спекулишу да прималац у почетку није могао да приступи датотеци у Дропбок-у, вероватно због рестриктивних владиних политика према апликацијама трећих страна. Међутим, нападачи су брзо послали други спеар пхисхинг емаил са везом до злонамерне ХТМЛ датотеке.

Уместо да користе Дропбок, хакери се сада ослањају на услуге складиштења на Гоогле диску да би сакрили своје радње и испоручили корисне податке у циљно окружење. Овај пут штрајк није блокиран.

Зашто претња није блокирана?

Чини се да се многа радна места сада ослањају на Гоогле апликације, укључујући Дриве обављају своје свакодневне операције, блокирање ових услуга се обично сматра неефикасним продуктивности.

Свеприсутна природа услуга у облаку и поверење корисника у њих чине ову нову претњу изузетно изазовном или чак немогуће открити.

Шта је сврха напада?

Као и многи сајбер напади, чини се да је намера била да се користи злонамерни софтвер и направи бацкдоор на зараженој мрежи за крађу осетљивих података.

Јединица 42 на мрежи Пало Алто је упозорила и Гоогле диск и Дропбок на злоупотребу њихових услуга. Пријављено је да су предузете одговарајуће мере против налога укључених у злонамерну активност.

Како се заштитити од Цлоуд сајбер напада

Пошто се већина алата за заштиту од малвера и детекције више фокусира на преузете датотеке уместо на датотеке у облаку, хакери се сада окрећу услугама складиштења у облаку како би избегли откривање. Иако такве покушаје крађе идентитета није лако открити, постоје кораци које можете предузети да бисте ублажили ризике.

  • Омогућите вишефакторску аутентификацију за своје налоге: Чак и ако се кориснички акредитиви добију на овај начин, хакер би и даље захтевао приступ уређају који такође обавља вишефакторску валидацију.
  • Примените Привилегија најмањег принципа: Кориснички налог или уређај треба само довољно приступа неопходан за одређени случај.
  • Опозовите прекомерни приступ осетљивим информацијама: Када кориснику буде одобрен приступ апликацији, не заборавите да опозовете те привилегије када приступ више није потребан.

Шта је кључно за понети?

Услуге складиштења у облаку су велике промене за организације да оптимизују ресурсе, поједноставе операције, уштеде време и скину неке безбедносне одговорности са свог рачуна.

Али као што је јасно из оваквих напада, хакери су почели да користе инфраструктуру облака како би направили нападе које је теже открити. Злонамерна датотека је могла бити смештена у Мицрософт ОнеДриве, Амазон АВС или било којој другој услузи за складиштење у облаку.

Разумевање овог новог вектора претњи је важно, али тежи део је постављање контрола за откривање и реаговање на њега. И чини се да се чак и доминантни играчи у технологији боре с тим.