Търсене
Close this search box.

САЩ и НАТО: Руските хакери преминават към облачни атаки

Членовете на разузнавателния алианс „Пет очи“ (FVEY) предупредиха днес, че хакерите от руската Служба за външно разузнаване (СВР) APT29 вече преминават към атаки, насочени към облачните услуги на своите жертви.

APT29 (проследявана също като Cozy Bear, Midnight Blizzard, The Dukes) проби множество федерални агенции на САЩ след организираната от тях преди повече от три години атака на веригата за доставки SolarWinds.

Руските кибершпиони също така компрометираха акаунти в Microsoft 365, принадлежащи на различни структури в страните от НАТО, за да получат данни, свързани с външната политика, и се насочиха към правителства, посолства и висши служители в цяла Европа, свързани с поредица от фишинг атаки.

Неотдавна през януари Microsoft потвърди, че хакерската група на руската Служба за външно разузнаване е пробила акаунтите на Exchange Online на нейни ръководители и потребители от други организации през ноември 2023 г.

Атакувани облачни услуги

Днес в съвместна консултация, издадена от Националния център за киберсигурност (NCSC) на Обединеното кралство, NSA, CISA, ФБР и агенциите за киберсигурност от Австралия, Канада и Нова Зеландия, се предупреждава, че руската група за заплахи постепенно преминава към атаки срещу облачна инфраструктура.

„Тъй като организациите продължават да модернизират системите си и да преминават към облачна инфраструктура, СВР се адаптира към тези промени в оперативната среда“, се казва в консултацията.

„Те трябва да излязат извън рамките на традиционните си средства за първоначален достъп, като например използване на софтуерни уязвимости в локална мрежа, и вместо това да се насочат към самите облачни услуги.“

Както установиха агенциите от „Пет очи“, хакерите от APT29 вече получават достъп до облачните среди на своите цели, като използват идентификационни данни за акаунти на услуги за достъп, компрометирани при атаки с грубо форсиране или пръскане на пароли.

Освен това те използват неактивни акаунти, които никога не са били премахвани, след като потребителите са напуснали целевите организации, което им позволява да възстановят достъпа и след общосистемно нулиране на паролите.

Първоначалните вектори за пробив в облака на APT29 включват също така използването на откраднати токени за достъп, които им позволяват да превземат акаунти, без да използват идентификационни данни, компрометирани домашни рутери за проксиране на злонамерената им дейност, умора за заобикаляне на многофакторната автентикация (MFA) и регистриране на собствените им устройства като нови устройства в облачните наематели на жертвите

След като получат първоначален достъп, хакерите на SVR използват сложни инструменти като зловредния софтуер MagicWeb (който им позволява да се удостоверяват като всеки потребител в компрометираната мрежа), за да избегнат откриването в мрежите на жертвите, главно правителствени и критични организации, обхващащи Европа, САЩ и Азия.

Как да откривате облачни атаки на СВР

Следователно смекчаването на първоначалните вектори за достъп на APT29 трябва да бъде на първо място в списъка на мрежовите защитници, когато работят за блокиране на техните атаки.

Мрежовите защитници се съветват да активират MFA, където и когато е възможно, в съчетание със силни пароли, да използват принципа на най-малките привилегии за всички системни и служебни акаунти, да създават канарни служебни акаунти, за да откриват по-бързо компрометиране, и да намаляват времето на живот на сесиите, за да блокират използването на откраднати токени за сесии.

Те трябва също така да разрешават записването на устройства само за оторизирани устройства и да следят за индикатори за компрометиране, които биха дали най-малко фалшиви положителни резултати при наблюдението на пробиви в сигурността.

„За организациите, които са преминали към облачна инфраструктура, първата линия на защита срещу заплаха  като СВР трябва да бъде защитата срещу TTP на СВР за първоначален достъп“, заявиха съюзниците от „Пет очи“.

„Като следват смекчаващите мерки, описани в тази консултация, организациите ще бъдат в по-силна позиция да се защитят от тази заплаха.“

 

Източник: e-security.bg

Подобни публикации

21 април 2024

Как OpenAI и Microsoft събудиха заспал софтуере...

Само преди десетилетие най-големият технологичен звяр в света беше ...
20 април 2024

Готви се нова методика за удостоверяване на съо...

Актуализирането на методиката за удостоверяване на съответствието н...
20 април 2024

Критична уязвимост на Forminator за WordPress и...

Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е ...
20 април 2024

Бандата "Медуза" нанася нов удар

Въпреки че общинската агенция уверява обществеността, че малцина са...
19 април 2024

Пробиха MITRE чрез нулевите дни на Ivanti

Корпорацията MITRE твърди, че подкрепяна от държавата хакерска груп...
19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
18 април 2024

Болница в Кан с 869 легла и 2100 служителя прет...

Болница „Симон Вейл“ в Кан (CHC-SV) обяви, че във вторн...
Бъдете социални
Още по темата
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
20/04/2024

Бандата "Медуза" нанася нов...

Въпреки че общинската агенция уверява обществеността,...
19/04/2024

Пробиха MITRE чрез нулевите...

Корпорацията MITRE твърди, че подкрепяна от...
Последно добавени
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
20/04/2024

Готви се нова методика за у...

Актуализирането на методиката за удостоверяване на...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!