Търсене
Close this search box.

Членовете на разузнавателния алианс „Пет очи“ (FVEY) предупредиха днес, че хакерите от руската Служба за външно разузнаване (СВР) APT29 вече преминават към атаки, насочени към облачните услуги на своите жертви.

APT29 (проследявана също като Cozy Bear, Midnight Blizzard, The Dukes) проби множество федерални агенции на САЩ след организираната от тях преди повече от три години атака на веригата за доставки SolarWinds.

Руските кибершпиони също така компрометираха акаунти в Microsoft 365, принадлежащи на различни структури в страните от НАТО, за да получат данни, свързани с външната политика, и се насочиха към правителства, посолства и висши служители в цяла Европа, свързани с поредица от фишинг атаки.

Неотдавна през януари Microsoft потвърди, че хакерската група на руската Служба за външно разузнаване е пробила акаунтите на Exchange Online на нейни ръководители и потребители от други организации през ноември 2023 г.

Атакувани облачни услуги

Днес в съвместна консултация, издадена от Националния център за киберсигурност (NCSC) на Обединеното кралство, NSA, CISA, ФБР и агенциите за киберсигурност от Австралия, Канада и Нова Зеландия, се предупреждава, че руската група за заплахи постепенно преминава към атаки срещу облачна инфраструктура.

„Тъй като организациите продължават да модернизират системите си и да преминават към облачна инфраструктура, СВР се адаптира към тези промени в оперативната среда“, се казва в консултацията.

„Те трябва да излязат извън рамките на традиционните си средства за първоначален достъп, като например използване на софтуерни уязвимости в локална мрежа, и вместо това да се насочат към самите облачни услуги.“

Както установиха агенциите от „Пет очи“, хакерите от APT29 вече получават достъп до облачните среди на своите цели, като използват идентификационни данни за акаунти на услуги за достъп, компрометирани при атаки с грубо форсиране или пръскане на пароли.

Освен това те използват неактивни акаунти, които никога не са били премахвани, след като потребителите са напуснали целевите организации, което им позволява да възстановят достъпа и след общосистемно нулиране на паролите.

Първоначалните вектори за пробив в облака на APT29 включват също така използването на откраднати токени за достъп, които им позволяват да превземат акаунти, без да използват идентификационни данни, компрометирани домашни рутери за проксиране на злонамерената им дейност, умора за заобикаляне на многофакторната автентикация (MFA) и регистриране на собствените им устройства като нови устройства в облачните наематели на жертвите

След като получат първоначален достъп, хакерите на SVR използват сложни инструменти като зловредния софтуер MagicWeb (който им позволява да се удостоверяват като всеки потребител в компрометираната мрежа), за да избегнат откриването в мрежите на жертвите, главно правителствени и критични организации, обхващащи Европа, САЩ и Азия.

Как да откривате облачни атаки на СВР

Следователно смекчаването на първоначалните вектори за достъп на APT29 трябва да бъде на първо място в списъка на мрежовите защитници, когато работят за блокиране на техните атаки.

Мрежовите защитници се съветват да активират MFA, където и когато е възможно, в съчетание със силни пароли, да използват принципа на най-малките привилегии за всички системни и служебни акаунти, да създават канарни служебни акаунти, за да откриват по-бързо компрометиране, и да намаляват времето на живот на сесиите, за да блокират използването на откраднати токени за сесии.

Те трябва също така да разрешават записването на устройства само за оторизирани устройства и да следят за индикатори за компрометиране, които биха дали най-малко фалшиви положителни резултати при наблюдението на пробиви в сигурността.

„За организациите, които са преминали към облачна инфраструктура, първата линия на защита срещу заплаха  като СВР трябва да бъде защитата срещу TTP на СВР за първоначален достъп“, заявиха съюзниците от „Пет очи“.

„Като следват смекчаващите мерки, описани в тази консултация, организациите ще бъдат в по-силна позиция да се защитят от тази заплаха.“

 

Източник: e-security.bg

Подобни публикации

2 декември 2024

Две болници в Англия са засегнати от кибератаки...

Миналата седмица две болници на Националната здравна служба (NHS) в...
2 декември 2024

Арестуваха Михаил Павлович Матвеев

Руските власти съобщават, че са арестували Михаил Павлович Матвеев,...
2 декември 2024

6 ключови действия за спазване на разпоредбите ...

NIS2, PCI DSS, GDPR, HIPAA или CMMC… този дълъг списък от сък...
2 декември 2024

Микролайнерът на този стартъп обещава по-евтин ...

Годината беше трудна за стартиращите компании за въздушни таксита. ...
1 декември 2024

Evil Twin WiFi Attack: Ръководство "Стъпка по с...

Добре дошли в задълбоченото изследване на WiFi атаките на злите бли...
1 декември 2024

Клуб от италианската Серия А стана жертва на ра...

Футболен клуб „Болоня 1909“ потвърди, че е претърпял атака с цел от...
30 ноември 2024

Загубите от хакове и измами с криптовалути прод...

През ноември загубите на криптовалута от хакове и измами  отново на...
Бъдете социални
Още по темата
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
29/11/2024

Десетки недостатъци в индус...

Разкрити са близо две дузини уязвимости...
28/11/2024

T-Mobile споделя повече инф...

В сряда T-Mobile сподели допълнителна информация...
Последно добавени
02/12/2024

Две болници в Англия са зас...

Миналата седмица две болници на Националната...
02/12/2024

Арестуваха Михаил Павлович ...

Руските власти съобщават, че са арестували...
02/12/2024

6 ключови действия за спазв...

NIS2, PCI DSS, GDPR, HIPAA или...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!