وبلاگ

You are currently viewing NCSC انگلستان هشدار می دهد زیرا هکرهای SVR خدمات ابری را هدف قرار می دهند – TechToday

NCSC انگلستان هشدار می دهد زیرا هکرهای SVR خدمات ابری را هدف قرار می دهند – TechToday


مشاوره مرکز ملی امنیت سایبری بریتانیا و آژانس‌های امنیتی بین‌المللی هشدار داده است که هکرهای دولتی روسیه در حال تطبیق تکنیک‌های خود برای هدف قرار دادن سازمان‌هایی هستند که به سمت فضای ابری حرکت می‌کنند.

این مشاوره توضیح می دهد که چگونه گروه جاسوسی سایبری APT29 به طور مستقیم نقاط ضعف در سرویس های ابری مورد استفاده توسط سازمان های قربانیان را هدف قرار می دهد تا به سیستم های خود دسترسی اولیه داشته باشند. APT29 همچنین دامنه حملات خود را فراتر از دولت ها، اتاق های فکر، ارائه دهندگان مراقبت های بهداشتی و انرژی گسترش می دهد تا قربانیان را در هوانوردی، آموزش، اجرای قانون، شوراهای محلی و ایالتی، ادارات مالی دولتی و سازمان های نظامی شامل شود. APT29 با اطلاعات خارجی روسیه مرتبط است.

این مشاوره از سازمان‌ها می‌خواهد که آسیب‌پذیری‌های رایج در محیط‌های ابری خود را با حذف حساب‌های غیرفعال، فعال کردن احراز هویت چند عاملی و ایجاد حساب‌های قناری برای نظارت بر فعالیت‌های مشکوک برطرف کنند.

APT29 کیست؟

APT29 که با نام‌های Cozy Bear، Midnight Blizzard یا Dukes نیز شناخته می‌شود، یک گروه جاسوسی سایبری است که گمان می‌رود عامل حمله بدنام SolarWinds در سال 2020 باشد که از آسیب‌پذیری‌های شبکه Orion سوء استفاده کرد و تأثیر مخربی بر سازمان‌های دولتی ایالات متحده و بخش خصوصی مختلف داشت. شرکت ها

این گروه هکر همچنین مسئول حمله اخیر پاشش رمز عبور علیه مایکروسافت بود که منجر به به خطر افتادن تعداد کمی از حساب‌های ایمیل شرکتی شد.

چگونه APT29 حملات سایبری خود را برای تمرکز بر محیط‌های ابری و ‘بمب‌گذاری MFA’ تطبیق می‌دهد

طبق این انتشار، APT29 با استفاده از تعدادی تکنیک در 12 ماه گذشته مشاهده شده است که نشان می‌دهد در حال سازگاری با تغییر محیط‌های عملیاتی مبتنی بر ابر در بخش‌های عمومی و خصوصی است.

به طور خاص، این گروه به طور فزاینده ای از نقاط ضعف در سرویس های ابری مورد استفاده سازمان ها برای دستیابی به دسترسی اولیه به شبکه ها استفاده می کند. این نشان دهنده انحراف از روش های سنتی حمله مورد استفاده توسط گروه است، یعنی روش هایی که تجهیزات محلی را هدف قرار می دهند.

تکنیک های مورد استفاده توسط APT29 شامل پاشش رمز عبور و حملات brute force است که اکانت هایی را هدف قرار می دهد که یا غیرفعال هستند یا توسط یک فرد کنترل نمی شوند و برای کنترل سایر برنامه های کاربردی در شبکه استفاده می شوند.

“این نوع حساب معمولا برای راه اندازی و مدیریت برنامه ها و خدمات استفاده می شود. هیچ کاربر انسانی پشت آن‌ها وجود ندارد، بنابراین نمی‌توان به راحتی با احراز هویت چند عاملی (MFA) از آنها محافظت کرد و این حساب‌ها را در معرض خطر سازش موفق‌تر قرار می‌دهد.»

«حساب‌های خدماتی نیز بسته به اینکه مسئول مدیریت کدام برنامه‌ها و خدمات هستند، اغلب دارای امتیاز بالایی هستند.» دسترسی به این حساب‌ها به عوامل تهدید دسترسی اولیه شبکه را برای راه‌اندازی عملیات بیشتر فراهم می‌کند.

APT29 همچنین از ضعف‌های موجود در پروتکل‌های MFA از طریق “بمباران MFA” استفاده می‌کند، که شامل بمباران دستگاه قربانی با درخواست‌های احراز هویت می‌شود تا زمانی که آنها از پذیرش خسته شوند – تصادفی یا غیرعادی.

با دور زدن MFA، هکرها می توانند دستگاه خود را در شبکه ثبت کنند و دسترسی عمیق تری به سیستم های قربانی داشته باشند. بازیگران SVR همچنین مشاهده شده‌اند که توکن‌های احراز هویت صادر شده توسط سیستم را می‌دزدند و به آنها امکان می‌داد بدون نیاز به رمز عبور به حساب‌های قربانیان دسترسی داشته باشند.

توبی لوئیس، رئیس تجزیه و تحلیل تهدید در شرکت امنیت سایبری بریتانیا Darktrace، گفت که تغییر تاکتیک های APT29 برخی از “چالش های ذاتی” در ایمن سازی زیرساخت های ابری را برجسته می کند.

لوئیس از طریق ایمیل به TechRepublic گفت: «افزایش انتقال داده ها و حجم کار به فضای ابری، سطوح حمله جدیدی را ایجاد کرده است که مجرمان سایبری مشتاق بهره برداری از آن هستند.

«محیط‌های ابری حاوی مقادیر وسیعی از داده‌های حساس است که هم برای بازیگران بد و هم برای گروه‌های دولت-ملت جذاب است. ماهیت توزیع‌شده زیرساخت‌های ابری، تأمین سریع منابع، و رواج پیکربندی‌های نادرست، چالش‌های امنیتی بزرگی را ایجاد کرده است.»

چگونه هکرهای SVR شناسایی نمی شوند

در یادداشت های مشاوره ای آمده است که پراکسی های مسکونی و حساب های غیرفعال نیز ابزار بسیار مفیدی برای هکرهای SVR هستند.

حساب‌های غیرفعال معمولاً زمانی ایجاد می‌شوند که یک کارمند سازمان را ترک می‌کند اما حسابش فعال باقی می‌ماند. هکرهایی که به یک حساب غیرفعال دسترسی دارند، می توانند هر گونه بازنشانی رمز عبور اعمال شده توسط یک سازمان پس از نقض امنیتی را دور بزنند. آنها به سادگی وارد حساب کاربری غیرفعال یا غیرفعال می شوند و دستورالعمل های بازنشانی رمز عبور را دنبال می کنند. در این بیانیه آمده است: «این به بازیگر اجازه داد تا پس از اخراج در یک حادثه دوباره دسترسی پیدا کند.

به طور مشابه، شرکت‌کنندگان SVR از پروکسی‌های خانگی برای پوشاندن موقعیت مکانی خود استفاده می‌کنند و طوری به نظر می‌رسند که گویی ترافیک شبکه آنها از یک آدرس IP مجاور سرچشمه می‌گیرد. این امر شناسایی فعالیت‌های مشکوک شبکه را برای سازمان قربانی دشوارتر می‌کند و باعث می‌شود دفاع‌های امنیت سایبری که از آدرس‌های IP به عنوان شاخص‌های فعالیت مشکوک استفاده می‌کنند، مؤثر نباشد.

این مشاوره گفت: «از آنجایی که دفاع در سطح شبکه تشخیص فعالیت مشکوک را بهبود می بخشد، شرکت کنندگان SVR به دنبال راه های دیگری برای پنهان ماندن در اینترنت هستند.

چالش های ایمن سازی شبکه های ابری

اگرچه به طور خاص در این توصیه ذکر نشده است، لوئیس گفت که توسعه هوش مصنوعی مولد چالش‌های بیشتری را برای ایمن کردن محیط‌های ابری ایجاد می‌کند – یعنی مهاجمان از این فناوری برای ایجاد حملات فیشینگ پیچیده‌تر و تکنیک‌های مهندسی اجتماعی استفاده می‌کنند.

او همچنین پیشنهاد کرد که بسیاری از سازمان‌ها از امنیت ابری خودداری کنند زیرا تصور می‌کنند که این مسئولیت بر عهده ارائه‌دهنده خدمات ابری است، در حالی که در واقع این یک مسئولیت مشترک است.

دانلود کنید: این سیاست آگاهی امنیتی و آموزشی از TechRepublic Premium

بسیاری از سازمان‌ها به اشتباه تصور می‌کنند که ارائه‌دهنده ابر تمام جنبه‌های امنیت را مدیریت می‌کند. با این حال، در حالی که ارائه‌دهنده حفاظت از زیرساخت‌های اساسی را فراهم می‌کند، مشتری مسئولیت پیکربندی صحیح منابع، مدیریت هویت و دسترسی و امنیت در سطح برنامه را بر عهده دارد.

رهبران کسب و کار باید با سرمایه گذاری در مهارت ها، ابزارها و فرآیندهای مناسب، امنیت ابر را جدی بگیرند. آنها باید اطمینان حاصل کنند که کارمندان معماری ابری و آموزش های امنیتی دارند تا از پیکربندی های اشتباه بزرگ جلوگیری کنند. آنها همچنین باید مدل مسئولیت مشترک را بپذیرند تا دقیقا بدانند چه چیزی در حیطه وظایفشان است.»

توصیه NCSC در مورد ایمن ماندن در توصیه SVR

هیئت مشورتی NCSC بر اهمیت مبانی امنیت سایبری تاکید دارد که عبارتند از:

  • عملکرد وزارت خارجه
  • از رمزهای عبور حساب کاربری قوی و منحصر به فرد استفاده کنید.
  • کاهش طول عمر جلسات برای توکن ها و جلسات کاربر.
  • یک اصل کمترین امتیاز را برای حساب های سیستم و خدمات اعمال کنید، که در آن هر حساب فقط حداقل سطوح دسترسی لازم برای انجام وظایف خود را دارد.

این امر آسیب احتمالی ناشی از حساب‌های در معرض خطر را به حداقل می‌رساند و سطح دسترسی مهاجمان را محدود می‌کند. در این توصیه نامه آمده است: “یک پایه خوب از اصول اساسی امنیت سایبری می تواند حتی تهدیدی به پیچیده بودن SVR را نفی کند، بازیگری که قادر به سازش زنجیره تامین جهانی مانند سازش SolarWinds 2020 است.”

دانلود کنید: این سیاست امنیتی ابری از TechRepublic Premium

علاوه بر این، هیئت مدیره پیشنهاد ایجاد حساب برای خدمات قناری – یعنی. حساب هایی که به نظر قانونی می رسند اما در واقع برای نظارت بر فعالیت های مشکوک در وب استفاده می شوند. خط‌مشی‌های ثبت با لمس صفر باید در صورت امکان اجرا شوند تا فقط دستگاه‌های مجاز بتوانند به‌طور خودکار به شبکه اضافه شوند، و سازمان‌ها باید «منابع مختلف اطلاعات، مانند رویدادهای برنامه‌ها و گزارش‌های مبتنی بر میزبان را برای کمک به پیشگیری، شناسایی و بررسی در نظر بگیرند. رفتار مخرب بالقوه.”

لوئیس بر اهمیت همکاری در پاسخ به چشم‌انداز تهدید در حال تغییر و همچنین حصول اطمینان از برخورداری کسب‌وکارها از مهارت‌ها، افراد و فرآیندهای مناسب برای دفاع در برابر تهدیدات جدید و نوظهور تأکید کرد.

همکاری جهانی بین آژانس‌ها و شرکت‌های امنیت سایبری برای شناسایی و پاسخ به تهدیدات پیچیده حیاتی است. مهاجمانی مانند APT29 جهانی فکر می کنند، بنابراین مدافعان نیز باید فکر کنند.

به اشتراک گذاری اطلاعات در مورد تاکتیک های جدید به سازمان ها در سراسر جهان این امکان را می دهد که دفاع خود را بهبود بخشند و به سرعت پاسخ دهند. هیچ آژانس یا شرکتی به تنهایی دید کاملی ندارد.»



Source link