Pandemian jälkeinen työympäristö on tuonut merkittäviä muutoksia verkon tietoturvaympäristöön. Organisaatiot ovat alkaneet luottaa enemmän pilvitallennusratkaisuihin, kuten Google Driveen ja Dropboxiin, päivittäisessä toiminnassaan.
Pilvitallennuspalvelut tarjoavat yksinkertaisen ja turvallisen tavan vastata etätyövoiman tarpeisiin. Mutta eivät vain yritykset ja työntekijät hyödynnä näitä palveluita. Hakkerit etsivät tapoja hyödyntää luottamusta pilvipalveluihin ja tehdä hyökkäyksistään erittäin vaikeasti havaittavia.
Miten se tapahtuu? Otetaan selvää!
Kuinka hakkerit käyttävät pilvitallennuspalveluita havaitsemisen välttämiseksi?
Vaikka käyttäjät yleensä luottavat salattuihin pilvitallennuspalveluihin, yritysten voi olla erittäin vaikeaa havaita haitallista toimintaa. Heinäkuun puolivälissä 2022 tutkijat Palo Alto Networks havaitsi Cloaked Ursa -nimisen ryhmän, joka tunnetaan myös nimellä APT29 ja Cozy Bear, haitallisen toiminnan hyödyntäen pilvipalveluita.
Ryhmällä uskotaan olevan yhteyksiä Venäjän hallitukseen ja se on vastuussa kyberhyökkäyksistä Yhdysvaltain demokraattista kansallista komiteaa (DNC) ja 2020.
SolarWindsin toimitusketjun hakkerointi. Se on myös mukana useissa kybervakoilukampanjoissa hallituksen virkamiehiä ja suurlähetystöjä vastaan ympäri maailmaa.Sen seuraava kampanja sisältää laillisten pilvitallennusratkaisujen, kuten Google Driven ja Dropboxin, käyttämisen toimintojensa suojaamiseen. Tässä on kuinka ryhmä suorittaa nämä hyökkäykset.
Hyökkäyksen toimintatapa
Hyökkäys alkaa tietojenkalasteluviesteillä, jotka lähetetään korkean profiilin kohteille Euroopan suurlähetystöissä. Se naamioituu kutsuiksi suurlähettiläiden tapaamisiin, ja sen mukana tulee oletettu esityslista haitallisessa PDF-liitteessä.
Liite sisältää haitallisen HTML-tiedoston (EnvyScout) isännöi Dropboxissa, mikä helpottaisi muiden haitallisten tiedostojen, mukaan lukien Cobalt Strike -hyötykuorman, toimittamista käyttäjän laitteelle.
Tutkijat spekuloivat, että vastaanottaja ei voinut aluksi päästä käsiksi tiedostoon Dropboxissa, mikä johtui todennäköisesti hallituksen rajoittavista käytännöistä kolmansien osapuolien sovelluksissa. Hyökkääjät olivat kuitenkin nopeita toinen phishing-sähköposti jossa on linkki haitalliseen HTML-tiedostoon.
Dropboxin sijaan hakkerit luottavat nyt Google Drive -tallennuspalveluihin piilottaakseen toimintansa ja toimittaakseen hyötykuormia kohdeympäristöön. Tällä kertaa lakkoa ei estetty.
Miksi uhkaa ei estetty?
Näyttää siltä, että koska monet työpaikat ovat nyt riippuvaisia Googlen sovelluksista, mukaan lukien Drive hoitaa päivittäistä toimintaansa, näiden palvelujen estämistä pidetään yleensä tehottomana tuottavuutta.
Pilvipalvelujen arjen luonne ja asiakkaiden luottamus niihin tekevät tästä uudesta uhasta erittäin haastavan tai jopa mahdoton havaita.
Mikä on hyökkäyksen tarkoitus?
Kuten monet kyberhyökkäykset, näyttää siltä, että tarkoituksena oli käyttää haittaohjelmia ja luoda takaovi tartunnan saaneeseen verkkoon arkaluonteisten tietojen varastamiseksi.
Palo Alto Networkin yksikkö 42 on ilmoittanut sekä Google Drivelle että Dropboxille palveluidensa väärinkäytöstä. On raportoitu, että haitalliseen toimintaan osallistuneita tilejä vastaan on ryhdytty asianmukaisiin toimiin.
Kuinka suojautua pilvikyberhyökkäyksiä vastaan
Koska useimmat haittaohjelmien torjunta- ja tunnistustyökalut keskittyvät enemmän ladattuihin tiedostoihin pilvessä olevien tiedostojen sijaan, hakkerit kääntyvät nyt pilvitallennuspalveluihin välttääkseen havaitsemisen. Vaikka tällaisia tietojenkalasteluyrityksiä ei ole helppo havaita, on olemassa toimenpiteitä, joilla voit vähentää riskejä.
- Ota monivaiheinen todennus käyttöön tileillesi: Vaikka käyttäjätunnukset hankittaisiin tällä tavalla, hakkeri tarvitsee silti pääsyn laitteeseen, joka myös suorittaa monitekijäisen vahvistuksen.
- Käytä Vähimmän periaatteen etuoikeus: Käyttäjätili tai laite tarvitsee vain tietyn tapauksen edellyttämät käyttöoikeudet.
- Estä liiallinen pääsy arkaluonteisiin tietoihin: Kun käyttäjälle on myönnetty sovelluksen käyttöoikeus, muista peruuttaa kyseiset oikeudet, kun pääsyä ei enää tarvita.
Mikä on Key Takeaway?
Pilvitallennuspalvelut ovat olleet valtava pelinmuutos organisaatioille resurssien optimoinnissa, toimintojen virtaviivaistamisessa, ajan säästämisessä ja joidenkin turvallisuusvastuiden poistamisessa.
Mutta kuten tällaisista hyökkäyksistä ilmenee, hakkerit ovat alkaneet hyödyntää pilviinfrastruktuuria luodakseen hyökkäyksiä, joita on vaikea havaita. Haitallinen tiedosto on voitu isännöidä Microsoft OneDrivessa, Amazon AWS: ssä tai missä tahansa muussa pilvitallennuspalvelussa.
Tämän uuden uhkavektorin ymmärtäminen on tärkeää, mutta vaikein osa on hallintalaitteiden käyttöönotto sen havaitsemiseksi ja siihen reagoimiseksi. Ja näyttää siltä, että jopa hallitsevat tekniikan toimijat kamppailevat sen kanssa.
