Членовете на разузнавателния алианс „Пет очи“ (FVEY) предупредиха днес, че хакерите от руската Служба за външно разузнаване (СВР) APT29 вече преминават към атаки, насочени към облачните услуги на своите жертви.
APT29 (проследявана също като Cozy Bear, Midnight Blizzard, The Dukes) проби множество федерални агенции на САЩ след организираната от тях преди повече от три години атака на веригата за доставки SolarWinds.
Руските кибершпиони също така компрометираха акаунти в Microsoft 365, принадлежащи на различни структури в страните от НАТО, за да получат данни, свързани с външната политика, и се насочиха към правителства, посолства и висши служители в цяла Европа, свързани с поредица от фишинг атаки.
Неотдавна през януари Microsoft потвърди, че хакерската група на руската Служба за външно разузнаване е пробила акаунтите на Exchange Online на нейни ръководители и потребители от други организации през ноември 2023 г.
Днес в съвместна консултация, издадена от Националния център за киберсигурност (NCSC) на Обединеното кралство, NSA, CISA, ФБР и агенциите за киберсигурност от Австралия, Канада и Нова Зеландия, се предупреждава, че руската група за заплахи постепенно преминава към атаки срещу облачна инфраструктура.
„Тъй като организациите продължават да модернизират системите си и да преминават към облачна инфраструктура, СВР се адаптира към тези промени в оперативната среда“, се казва в консултацията.
„Те трябва да излязат извън рамките на традиционните си средства за първоначален достъп, като например използване на софтуерни уязвимости в локална мрежа, и вместо това да се насочат към самите облачни услуги.“
Както установиха агенциите от „Пет очи“, хакерите от APT29 вече получават достъп до облачните среди на своите цели, като използват идентификационни данни за акаунти на услуги за достъп, компрометирани при атаки с грубо форсиране или пръскане на пароли.
Освен това те използват неактивни акаунти, които никога не са били премахвани, след като потребителите са напуснали целевите организации, което им позволява да възстановят достъпа и след общосистемно нулиране на паролите.
Първоначалните вектори за пробив в облака на APT29 включват също така използването на откраднати токени за достъп, които им позволяват да превземат акаунти, без да използват идентификационни данни, компрометирани домашни рутери за проксиране на злонамерената им дейност, умора за заобикаляне на многофакторната автентикация (MFA) и регистриране на собствените им устройства като нови устройства в облачните наематели на жертвите
След като получат първоначален достъп, хакерите на SVR използват сложни инструменти като зловредния софтуер MagicWeb (който им позволява да се удостоверяват като всеки потребител в компрометираната мрежа), за да избегнат откриването в мрежите на жертвите, главно правителствени и критични организации, обхващащи Европа, САЩ и Азия.
Следователно смекчаването на първоначалните вектори за достъп на APT29 трябва да бъде на първо място в списъка на мрежовите защитници, когато работят за блокиране на техните атаки.
Мрежовите защитници се съветват да активират MFA, където и когато е възможно, в съчетание със силни пароли, да използват принципа на най-малките привилегии за всички системни и служебни акаунти, да създават канарни служебни акаунти, за да откриват по-бързо компрометиране, и да намаляват времето на живот на сесиите, за да блокират използването на откраднати токени за сесии.
Те трябва също така да разрешават записването на устройства само за оторизирани устройства и да следят за индикатори за компрометиране, които биха дали най-малко фалшиви положителни резултати при наблюдението на пробиви в сигурността.
„За организациите, които са преминали към облачна инфраструктура, първата линия на защита срещу заплаха като СВР трябва да бъде защитата срещу TTP на СВР за първоначален достъп“, заявиха съюзниците от „Пет очи“.
„Като следват смекчаващите мерки, описани в тази консултация, организациите ще бъдат в по-силна позиция да се защитят от тази заплаха.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.