Det post-pandemiske arbeidsmiljøet har medført betydelige endringer i nettverkssikkerhetslandskapet. Organisasjoner har begynt å stole mer på skylagringsløsninger, som Google Drive og Dropbox, for å utføre den daglige driften.
Skylagringstjenester gir en enkel og sikker måte å imøtekomme behovene til en ekstern arbeidsstyrke. Men det er ikke bare bedrifter og ansatte som drar nytte av disse tjenestene. Hackere finner måter å utnytte tilliten til skytjenester og gjøre angrepene deres ekstremt vanskelige å oppdage.
Hvordan skjer det? La oss finne det ut!
Hvordan bruker hackere skylagringstjenester for å unngå oppdagelse?
Selv om krypterte skylagringstjenester vanligvis er klarert av brukere, kan det være ekstremt vanskelig for selskaper å oppdage ondsinnet aktivitet. I midten av juli 2022, forskere ved Palo Alto Networks oppdaget ondsinnet aktivitet som utnytter skytjenester av en gruppe kalt Cloaked Ursa – også kjent som APT29 og Cozy Bear.
Gruppen antas å ha forbindelser til den russiske regjeringen og er ansvarlig for nettangrep mot USAs demokratiske nasjonale komité (DNC) og 2020
SolarWinds forsyningskjede hack. Det er også involvert i flere nettspionasjekampanjer mot myndighetspersoner og ambassader rundt om i verden.Den neste kampanjen innebærer å bruke legitime skylagringsløsninger som Google Drive og Dropbox for å beskytte aktivitetene deres. Her er hvordan gruppen utfører disse angrepene.
Modus Operandi for angrepet
Angrepet begynner med phishing-e-poster sendt ut til høyprofilerte mål ved europeiske ambassader. Den utgir seg for å invitere til møter med ambassadører og kommer med en antatt agenda i et ondsinnet PDF-vedlegg.
Vedlegget inneholder en ondsinnet HTML-fil (EnvyScout) vert i Dropbox som vil lette leveringen av andre skadelige filer, inkludert en Cobalt Strike-nyttelast til brukerens enhet.
Forskere spekulerer i at mottakeren i utgangspunktet ikke kunne få tilgang til filen i Dropbox, sannsynligvis på grunn av restriktive myndigheters retningslinjer for tredjepartsapplikasjoner. Angriperne var imidlertid raske med å sende en ny phishing-e-post med en lenke til den skadelige HTML-filen.
I stedet for å bruke Dropbox, stoler hackerne nå på Google Drive-lagringstjenester for å skjule handlingene sine og levere nyttelast til målmiljøet. Denne gangen ble ikke streiken blokkert.
Hvorfor ble ikke trusselen blokkert?
Det ser ut til at siden mange arbeidsplasser nå er avhengige av Google-applikasjoner, inkludert Drive gjennomføre sin daglige drift, blir blokkering av disse tjenestene vanligvis sett på som ineffektivt å produktivitet.
Den allestedsnærværende naturen til skytjenester og kundenes tillit til dem gjør denne nye trusselen ekstremt utfordrende eller til og med umulig å oppdage.
Hva er hensikten med angrepet?
Som mange cyberangrep ser det ut til at intensjonen var å bruke skadelig programvare og lage en bakdør til et infisert nettverk for å stjele sensitive data.
Enhet 42 på Palo Alto-nettverket har varslet både Google Drive og Dropbox om misbruk av tjenestene deres. Det er rapportert at passende tiltak ble iverksatt mot kontoer involvert i den ondsinnede aktiviteten.
Slik beskytter du deg mot nettangrep i nettskyen
Siden de fleste anti-malware og deteksjonsverktøy fokuserer mer på nedlastede filer i stedet for filer i skyen, henvender hackere seg nå til skylagringstjenester for å unngå oppdagelse. Selv om slike phishing-forsøk ikke er enkle å oppdage, er det skritt du kan ta for å redusere risikoen.
- Aktiver multifaktorautentisering for kontoene dine: Selv om brukerlegitimasjon innhentes på denne måten, vil hackeren fortsatt kreve tilgang til enheten som også utfører multifaktorvalideringen.
- Bruk Minste prinsipps privilegium: En brukerkonto eller enhet trenger bare nok tilgang som er nødvendig for en spesifikk sak.
- Oppheve overdreven tilgang til sensitiv informasjon: Når en bruker har fått tilgang til en applikasjon, husk å tilbakekalle disse rettighetene når tilgangen ikke lenger er nødvendig.
Hva er nøkkelen?
Skylagringstjenester har vært en stor endring for organisasjoner for å optimalisere ressurser, effektivisere driften, spare tid og ta noe sikkerhetsansvar fra platen deres.
Men som det er klart fra angrep som disse, har hackere begynt å utnytte skyinfrastrukturen for å lage angrep som er vanskeligere å oppdage. Den ondsinnede filen kan ha vært vert i Microsoft OneDrive, Amazon AWS eller en annen skylagringstjeneste.
Det er viktig å forstå denne nye trusselvektoren, men den vanskelige delen er å sette på plass kontroller for å oppdage og svare på den. Og det ser ut til at selv de dominerende aktørene innen teknologi sliter med det.