Постпандемичната среда на работното място доведе до значителни промени в мрежовата сигурност. Организациите започнаха да разчитат повече на решения за съхранение в облак, като Google Drive и Dropbox, за извършване на ежедневните си операции.

Услугите за съхранение в облак осигуряват лесен и сигурен начин за задоволяване на нуждите на отдалечена работна сила. Но не само предприятията и служителите се възползват от тези услуги. Хакерите намират начини да използват доверието в облачните услуги и да направят своите атаки изключително трудни за откриване.

Как се случва? Нека разберем!

Как хакерите използват услугите за съхранение в облак, за да избегнат откриването?

Въпреки че криптираните облачни услуги за съхранение обикновено се ползват с доверие от потребителите, за компаниите може да бъде изключително трудно да открият злонамерена дейност. В средата на юли 2022 г. изследователи от Palo Alto Networks откри злонамерена дейност, използваща облачни услуги от група, наречена Cloaked Ursa - известна също като APT29 и Cozy Bear.

instagram viewer

Смята се, че групата има връзки с руското правителство и е отговорна за кибератаките срещу Националния демократичен комитет на САЩ (DNC) и 2020 г. Хак на веригата за доставки на SolarWinds. Също така участва в няколко кампании за кибершпионаж срещу държавни служители и посолства по целия свят.

Следващата му кампания включва използването на легитимни решения за съхранение в облак като Google Drive и Dropbox, за да предпазят дейностите си. Ето как групата извършва тези атаки.

Начинът на действие на атаката

Атаката започва с фишинг имейли, изпратени до високопоставени цели в европейските посолства. Маскира се като покани за срещи с посланици и идва с предполагаем дневен ред в злонамерен PDF прикачен файл.

Прикаченият файл съдържа злонамерен HTML файл (EnvyScout), хостван в Dropbox, който би улеснил доставката на други злонамерени файлове, включително полезен товар Cobalt Strike, до устройството на потребителя.

Изследователите спекулират, че получателят първоначално не е могъл да получи достъп до файла в Dropbox, вероятно поради ограничителни правителствени политики за приложения на трети страни. Нападателите обаче побързаха да отпратят втори фишинг имейл с връзка към злонамерения HTML файл.

Вместо да използват Dropbox, хакерите сега разчитат на услугите за съхранение на Google Drive, за да скрият действията си и да доставят полезни товари в целевата среда. Този път стачката не беше блокирана.

Защо заплахата не беше блокирана?

Изглежда, че тъй като много работни места сега разчитат на приложенията на Google, включително Drive, за извършват ежедневните си операции, блокирането на тези услуги обикновено се смята за неефективно производителност.

Вездесъщият характер на облачните услуги и доверието на клиентите в тях правят тази нова заплаха изключително предизвикателна или дори невъзможна за откриване.

Каква е целта на атаката?

Подобно на много кибератаки, изглежда, че намерението е било да се използва зловреден софтуер и да се създаде задна врата към заразена мрежа за кражба на чувствителни данни.

Отдел 42 в Palo Alto Network е предупредил Google Drive и Dropbox за злоупотреба с техните услуги. Съобщава се, че са предприети подходящи действия срещу акаунти, участващи в злонамерената дейност.

Как да се предпазите от облачни кибератаки

Тъй като повечето инструменти за защита от злонамерен софтуер и откриване се фокусират повече върху изтеглените файлове, вместо върху файловете в облака, хакерите сега се обръщат към услугите за съхранение в облак, за да избегнат откриването. Въпреки че подобни опити за фишинг не са лесни за откриване, има стъпки, които можете да предприемете, за да намалите рисковете.

  • Активирайте многофакторно удостоверяване за вашите акаунти: Дори и идентификационните данни на потребителя да бъдат получени по този начин, хакерът пак ще изисква достъп до устройството, което също извършва многофакторната проверка.
  • Приложете Привилегия на най-малкия принцип: Потребителски акаунт или устройство се нуждаят само от достатъчно достъп, необходим за конкретен случай.
  • Отменете прекомерния достъп до чувствителна информация: След като на даден потребител бъде предоставен достъп до приложение, не забравяйте да отмените тези привилегии, когато достъпът вече не е необходим.

Какво е ключът за вкъщи?

Услугите за съхранение в облак промениха играта много за организациите, за да оптимизират ресурсите, да рационализират операциите, да спестят време и да премахнат някои отговорности за сигурността.

Но както става ясно от атаки като тези, хакерите са започнали да използват облачна инфраструктура, за да създават атаки, които са по-трудни за откриване. Злонамереният файл може да е бил хостван в Microsoft OneDrive, Amazon AWS или друга услуга за съхранение в облак.

Разбирането на този нов вектор на заплаха е важно, но трудната част е въвеждането на контроли за откриване и реагиране на него. И изглежда, че дори доминиращите играчи в технологиите се борят с това.