A világjárvány utáni munkahelyi környezet jelentős változásokat hozott a hálózatbiztonsági környezetben. A szervezetek egyre inkább a felhőalapú tárolási megoldásokra, például a Google Drive-ra és a Dropboxra támaszkodnak mindennapi tevékenységeik elvégzése során.

A felhőalapú tárolási szolgáltatások egyszerű és biztonságos módot kínálnak a távoli munkaerő igényeinek kielégítésére. De nem csak a vállalkozások és az alkalmazottak veszik igénybe ezeket a szolgáltatásokat. A hackerek keresik a módját, hogy kihasználják a felhőszolgáltatásokba vetett bizalmat, és rendkívül megnehezítsék támadásaikat.

Hogyan történik? Találjuk ki!

Hogyan használják a hackerek a felhőalapú tárolási szolgáltatásokat az észlelés elkerülésére?

Bár a titkosított felhőalapú tárolási szolgáltatásokban a felhasználók jellemzően megbíznak, a vállalatok számára rendkívül nehéz lehet a rosszindulatú tevékenységek észlelése. 2022. július közepén a kutatók a Palo Alto Networks rosszindulatú tevékenységet fedezett fel a felhőszolgáltatásokat kihasználó Cloaked Ursa nevű csoport által – más néven APT29 és Cozy Bear.

A csoport vélhetően kapcsolatban áll az orosz kormánnyal, és felelős az Egyesült Államok Demokrata Nemzeti Bizottsága (DNC) elleni kibertámadásokért és a 2020. A SolarWinds ellátási lánc feltörése. Több kiberkémkedési kampányban is részt vesz kormánytisztviselők és nagykövetségek ellen szerte a világon.

Következő kampánya során olyan legitim felhőalapú tárolási megoldásokat használnak, mint a Google Drive és a Dropbox a tevékenységeik védelmére. Íme, hogyan hajtja végre a csoport ezeket a támadásokat.

A támadás Modus Operandija

A támadás adathalász e-mailekkel kezdődik, amelyeket az európai nagykövetségek magas rangú célpontjainak küldenek. A nagykövetekkel való találkozókra való meghívónak álcázza magát, és egy feltételezett napirendet is tartalmaz egy rosszindulatú PDF-mellékletben.

A melléklet rosszindulatú HTML-fájlt tartalmaz (EnvyScout) a Dropboxban található, amely megkönnyítené más rosszindulatú fájlok, köztük a Cobalt Strike rakomány eljuttatását a felhasználó eszközére.

A kutatók azt feltételezik, hogy a címzett kezdetben nem tudott hozzáférni a fájlhoz a Dropboxban, valószínűleg a harmadik féltől származó alkalmazásokra vonatkozó korlátozó kormányzati irányelvek miatt. A támadók azonban gyorsan küldtek egy második adathalász e-mail a rosszindulatú HTML-fájlra mutató hivatkozással.

A Dropbox használata helyett a hackerek most a Google Drive tárhelyszolgáltatásaira hagyatkoznak, hogy elrejtik tevékenységeiket és szállítsák a hasznos terheket a célkörnyezetbe. Ezúttal a sztrájkot nem akadályozták meg.

Miért nem blokkolták a fenyegetést?

Úgy tűnik, hogy mivel sok munkahely már a Google-alkalmazásokra támaszkodik, beleértve a Drive-ot is mindennapi tevékenységüket végezzék, ezeknek a szolgáltatásoknak a blokkolását általában nem tartják hatékonynak termelékenység.

A felhőszolgáltatások mindenütt jelenlévő természete és az ügyfelek bennük való bizalma rendkívüli kihívást, sőt lehetetlenné teszi ennek az új fenyegetésnek az észlelését.

Mi a támadás célja?

Sok kibertámadáshoz hasonlóan úgy tűnik, hogy a szándék az volt, hogy rosszindulatú programokat használjanak, és egy hátsó ajtót hozzanak létre egy fertőzött hálózaton érzékeny adatok ellopása érdekében.

A Palo Alto Network 42-es egysége a Google Drive-ot és a Dropboxot is figyelmeztette a szolgáltatásaikkal való visszaélésre. A jelentések szerint megfelelő lépéseket tettek a rosszindulatú tevékenységben érintett fiókokkal szemben.

Hogyan védekezzünk a felhő kibertámadásai ellen

Mivel a legtöbb kártevő-elhárító és észlelő eszköz inkább a letöltött fájlokra összpontosít, nem pedig a felhőben lévő fájlokra, a hackerek most a felhőalapú tárolási szolgáltatásokhoz fordulnak az észlelés elkerülése érdekében. Bár az ilyen adathalász kísérleteket nem könnyű észlelni, vannak olyan lépések, amelyekkel csökkentheti a kockázatokat.

  • Többtényezős hitelesítés engedélyezése fiókjaiban: Még akkor is, ha a felhasználói hitelesítési adatokat ilyen módon szerzi meg, a hackernek továbbra is szüksége lenne a többtényezős ellenőrzést végző eszközhöz való hozzáférésre.
  • Alkalmazza a A legkisebb elv privilégiuma: Egy felhasználói fiókhoz vagy eszközhöz csak egy adott esethez szükséges hozzáférés szükséges.
  • Az érzékeny információkhoz való túlzott hozzáférés visszavonása: Miután a felhasználó hozzáférést kapott egy alkalmazáshoz, ne felejtse el visszavonni ezeket a jogosultságokat, amikor a hozzáférésre már nincs szükség.

Mi az a kulcselvitel?

A felhőalapú tárolási szolgáltatások óriási változást jelentettek a szervezetek számára az erőforrások optimalizálása, a műveletek egyszerűsítése, az időmegtakarítás és bizonyos biztonsági kötelezettségek levonása érdekében.

De amint az az ehhez hasonló támadásokból kiderül, a hackerek elkezdték kihasználni a felhő infrastruktúráját, hogy nehezebben észlelhető támadásokat hozzanak létre. A rosszindulatú fájlt a Microsoft OneDrive, az Amazon AWS vagy bármely más felhőalapú tárolási szolgáltatás tárolhatta.

Ennek az új fenyegetési vektornak a megértése fontos, de a legnehezebb az, hogy olyan vezérlőket kell bevezetni, amelyek észlelik és reagálnak rá. És úgy tűnik, hogy még a technológia domináns szereplői is küzdenek vele.