Альянс Five Eyes, в который входят спецслужбы Великобритании, США, Австралии, Канады и Новой Зеландии, предупредил, что российские хакерские группы обращаются к облачным сервисам в качестве предпочтительной цели.
Сустав консультативный заявляет, что злоумышленники перемещают свои охотничьи угодья в облачные среды, а не пытаются получить доступ к локальной инфраструктуре.
Методы доступа, которые выбирают хакеры, остаются в основном теми же: распыление паролей и атаки методом перебора являются причиной многих нарушений в облаке в последние годы.
В облаках собирается российская гроза
В сообщении говорится, что злоумышленники нацелены на организации, переходящие в облако в рамках тенденции трансформации бизнеса в сторону ведения бизнеса в облаке. Поэтому, «[threat actors] должны выйти за рамки традиционных средств первоначального доступа, таких как использование уязвимостей программного обеспечения в локальной сети, и вместо этого нацелиться на сами облачные сервисы».
Несколько федеральных агентств, в том числе Госдепартамент США, подверглись атаке со стороны российской хакерской группы APT29 (CozyBear, MidnightBlizzard, TheDukes) в результате атаки SolarWinds три года назад, в ходе которой взломанное программное обеспечение SolarWind было автоматически распространено среди примерно 18 000 клиентов. обновление программного обеспечения .
Одной из наиболее прибыльных форм доступа к облаку являются неактивные учетные записи организации, которые сохраняют права доступа, которые не аннулируются, если сотрудник покидает организацию. Хакеры также могут использовать украденные токены доступа для обхода учетных данных и многофакторной аутентификации (MFA) или захвата устройств посредством сброса пароля.
Отличительной чертой поддерживаемых Россией хакеров является использование вредоносного ПО MagicWeb после получения доступа. Это вредоносное ПО позволяет хакерам выдавать себя за законного пользователя в инфраструктуре компании.
В заключении также опубликован ряд методов смягчения последствий и обнаружения:
- Использование 2FA или MFA как часть доступа к учетной записи
- Используйте надежные и уникальные пароли и деактивируйте учетные записи, которые больше не активны.
- Ограничение доступа пользователей только к приложениям и файлам, необходимым для выполнения их задач.
- Создание учетных записей раннего предупреждения, называемых «канареечными учетными записями», которые кажутся законными, но никогда не используются для каких-либо целей. Поэтому при использовании они предупреждают систему о неавторизованном пользователе.
- Установите минимальную продолжительность сеанса по умолчанию, чтобы уменьшить окно возможностей для злоумышленников.
- Разрешите регистрироваться в организации только прошедшим проверку устройствам и выполняйте частое лечение старых устройств.
- Используйте широкий спектр источников информации для выявления злоумышленников, а не сосредотачивайтесь только на одном (изменение строки пользовательского агента, а не подозрительные IP-соединения).
Над ПипКомпьютер
Больше от TechRadar Pro
