Pandeemiajärgne töökeskkond on toonud kaasa olulisi muudatusi võrguturbe maastikul. Organisatsioonid on hakanud oma igapäevaste toimingute tegemisel rohkem toetuma pilvesalvestuslahendustele, nagu Google Drive ja Dropbox.
Pilvesalvestusteenused pakuvad lihtsat ja turvalist viisi kaugtööjõu vajaduste rahuldamiseks. Kuid mitte ainult ettevõtted ja töötajad ei kasuta neid teenuseid. Häkkerid leiavad viise, kuidas suurendada usaldust pilveteenuste vastu ja muuta nende rünnakute tuvastamine äärmiselt raskeks.
Kuidas see juhtub? Uurime välja!
Kuidas häkkerid pilvesalvestusteenuseid kasutavad tuvastamise vältimiseks?
Kuigi krüptitud pilvesalvestusteenuseid kasutajad tavaliselt usaldavad, võib ettevõtetel olla väga raske pahatahtlikku tegevust tuvastada. 2022. aasta juuli keskel leidsid teadlased Palo Alto võrgud avastas rühmitus Cloaked Ursa – tuntud ka kui APT29 ja Cozy Bear – pahatahtliku tegevuse, mis kasutas pilveteenuseid.
Arvatakse, et rühmitusel on sidemed Venemaa valitsusega ja ta vastutab küberrünnakute eest USA Demokraatliku Rahvuskomitee (DNC) ja 2020.
SolarWindsi tarneahela häkkimine. Samuti osaleb see mitmetes küberspionaažikampaaniates valitsusametnike ja saatkondade vastu üle kogu maailma.Selle järgmine kampaania hõlmab seaduslike pilvesalvestuslahenduste, nagu Google Drive ja Dropbox, kasutamist nende tegevuste kaitsmiseks. Siin on, kuidas rühmitus neid rünnakuid korraldab.
Rünnaku Modus Operandi
Rünnak algab andmepüügimeilidega, mis saadetakse Euroopa saatkondade kõrgetasemelistele sihtmärkidele. See maskeeritakse kui kutsed kohtumistele suursaadikutega ja kaasas oletatav päevakava pahatahtlikus PDF-manuses.
Manus sisaldab pahatahtlikku HTML-faili (EnvyScout), mis on majutatud Dropboxis, mis hõlbustaks teiste pahatahtlike failide, sealhulgas Cobalt Strike'i kasuliku koorma edastamist kasutaja seadmesse.
Teadlased oletavad, et adressaat ei saanud algselt Dropboxis failile juurde pääseda, tõenäoliselt kolmandate osapoolte rakenduste piirava valitsuse poliitika tõttu. Ründajad olid aga kiired saatma teine andmepüügimeil lingiga pahatahtlikule HTML-failile.
Dropboxi kasutamise asemel tuginevad häkkerid nüüd Google Drive'i salvestusteenustele, et varjata oma tegevusi ja toimetada kasulikud koormused sihtkeskkonda. Seekord streiki ei blokeeritud.
Miks ohtu ei blokeeritud?
Näib, et kuna paljud töökohad toetuvad nüüd Google'i rakendustele, sealhulgas Drive'ile oma igapäevast tegevust läbi viima, peetakse nende teenuste blokeerimist tavaliselt ebatõhusaks tootlikkus.
Pilveteenuste üldlevinud olemus ja klientide usaldus nende vastu muudab selle uue ohu äärmiselt keeruliseks või isegi võimatuks tuvastada.
Mis on rünnaku eesmärk?
Nagu paljude küberrünnakute puhul, näib, et eesmärk oli kasutada pahavara ja luua nakatunud võrku tagauks, et varastada tundlikke andmeid.
Palo Alto võrgu üksus 42 on hoiatanud nii Google Drive'i kui ka Dropboxi nende teenuste kuritarvitamise eest. Teatati, et pahatahtliku tegevusega seotud kontode vastu võeti asjakohased meetmed.
Kuidas kaitsta pilve küberrünnakute eest
Kuna enamik pahavaratõrje- ja tuvastamistööriistu keskendub pilves olevate failide asemel rohkem allalaaditud failidele, pöörduvad häkkerid tuvastamise vältimiseks nüüd pilvesalvestusteenuste poole. Kuigi selliseid andmepüügikatseid ei ole lihtne tuvastada, saate riskide maandamiseks võtta meetmeid.
- Lubage oma kontodele mitmefaktoriline autentimine. Isegi kui kasutaja mandaadid sel viisil hangitakse, vajab häkker ikkagi juurdepääsu seadmele, mis teostab ka mitmefaktorilist valideerimist.
- Rakenda Vähima printsiibi privileeg: Kasutajakonto või seade vajab ainult konkreetse juhtumi jaoks vajalikku juurdepääsu.
- Tühista liigne juurdepääs tundlikule teabele: Kui kasutajale on rakendusele juurdepääs antud, ärge unustage need õigused tühistada, kui juurdepääsu pole enam vaja.
Mis on võti?
Pilvesalvestusteenused on olnud organisatsioonide jaoks tohutuks muutuseks ressursside optimeerimisel, toimingute sujuvamaks muutmisel, aja säästmisel ja teatud turvakohustuste eemaldamisel.
Kuid nagu sellistest rünnakutest selgub, on häkkerid hakanud pilveinfrastruktuuri kasutama raskemini tuvastatavate rünnakute loomiseks. Pahatahtlik fail võis olla hostitud Microsoft OneDrive'is, Amazon AWS-is või mõnes muus pilvesalvestusteenuses.
Selle uue ohuvektori mõistmine on oluline, kuid raske osa on selle tuvastamiseks ja sellele reageerimiseks juhtelementide kasutuselevõtt. Ja näib, et isegi domineerivad tehnikategijad on sellega hädas.