مشاوره مرکز ملی امنیت سایبری بریتانیا و آژانسهای امنیتی بینالمللی هشدار داده است که هکرهای دولتی روسیه در حال تطبیق تکنیکهای خود برای هدف قرار دادن سازمانهایی هستند که به سمت فضای ابری حرکت میکنند.
این مشاوره توضیح می دهد که چگونه گروه جاسوسی سایبری APT29 به طور مستقیم نقاط ضعف در سرویس های ابری مورد استفاده توسط سازمان های قربانیان را هدف قرار می دهد تا به سیستم های خود دسترسی اولیه داشته باشند. APT29 همچنین دامنه حملات خود را فراتر از دولت ها، اتاق های فکر، ارائه دهندگان مراقبت های بهداشتی و انرژی گسترش می دهد تا قربانیان را در هوانوردی، آموزش، اجرای قانون، شوراهای محلی و ایالتی، ادارات مالی دولتی و سازمان های نظامی شامل شود. APT29 با اطلاعات خارجی روسیه مرتبط است.
این مشاوره از سازمانها میخواهد که آسیبپذیریهای رایج در محیطهای ابری خود را با حذف حسابهای غیرفعال، فعال کردن احراز هویت چند عاملی و ایجاد حسابهای قناری برای نظارت بر فعالیتهای مشکوک برطرف کنند.
APT29 کیست؟
APT29 که با نامهای Cozy Bear، Midnight Blizzard یا Dukes نیز شناخته میشود، یک گروه جاسوسی سایبری است که گمان میرود عامل حمله بدنام SolarWinds در سال 2020 باشد که از آسیبپذیریهای شبکه Orion سوء استفاده کرد و تأثیر مخربی بر سازمانهای دولتی ایالات متحده و بخش خصوصی مختلف داشت. شرکت ها
این گروه هکر همچنین مسئول حمله اخیر پاشش رمز عبور علیه مایکروسافت بود که منجر به به خطر افتادن تعداد کمی از حسابهای ایمیل شرکتی شد.
چگونه APT29 حملات سایبری خود را برای تمرکز بر محیطهای ابری و ‘بمبگذاری MFA’ تطبیق میدهد
طبق این انتشار، APT29 با استفاده از تعدادی تکنیک در 12 ماه گذشته مشاهده شده است که نشان میدهد در حال سازگاری با تغییر محیطهای عملیاتی مبتنی بر ابر در بخشهای عمومی و خصوصی است.
به طور خاص، این گروه به طور فزاینده ای از نقاط ضعف در سرویس های ابری مورد استفاده سازمان ها برای دستیابی به دسترسی اولیه به شبکه ها استفاده می کند. این نشان دهنده انحراف از روش های سنتی حمله مورد استفاده توسط گروه است، یعنی روش هایی که تجهیزات محلی را هدف قرار می دهند.
تکنیک های مورد استفاده توسط APT29 شامل پاشش رمز عبور و حملات brute force است که اکانت هایی را هدف قرار می دهد که یا غیرفعال هستند یا توسط یک فرد کنترل نمی شوند و برای کنترل سایر برنامه های کاربردی در شبکه استفاده می شوند.
“این نوع حساب معمولا برای راه اندازی و مدیریت برنامه ها و خدمات استفاده می شود. هیچ کاربر انسانی پشت آنها وجود ندارد، بنابراین نمیتوان به راحتی با احراز هویت چند عاملی (MFA) از آنها محافظت کرد و این حسابها را در معرض خطر سازش موفقتر قرار میدهد.»
«حسابهای خدماتی نیز بسته به اینکه مسئول مدیریت کدام برنامهها و خدمات هستند، اغلب دارای امتیاز بالایی هستند.» دسترسی به این حسابها به عوامل تهدید دسترسی اولیه شبکه را برای راهاندازی عملیات بیشتر فراهم میکند.
APT29 همچنین از ضعفهای موجود در پروتکلهای MFA از طریق “بمباران MFA” استفاده میکند، که شامل بمباران دستگاه قربانی با درخواستهای احراز هویت میشود تا زمانی که آنها از پذیرش خسته شوند – تصادفی یا غیرعادی.
با دور زدن MFA، هکرها می توانند دستگاه خود را در شبکه ثبت کنند و دسترسی عمیق تری به سیستم های قربانی داشته باشند. بازیگران SVR همچنین مشاهده شدهاند که توکنهای احراز هویت صادر شده توسط سیستم را میدزدند و به آنها امکان میداد بدون نیاز به رمز عبور به حسابهای قربانیان دسترسی داشته باشند.
توبی لوئیس، رئیس تجزیه و تحلیل تهدید در شرکت امنیت سایبری بریتانیا Darktrace، گفت که تغییر تاکتیک های APT29 برخی از “چالش های ذاتی” در ایمن سازی زیرساخت های ابری را برجسته می کند.
لوئیس از طریق ایمیل به TechRepublic گفت: «افزایش انتقال داده ها و حجم کار به فضای ابری، سطوح حمله جدیدی را ایجاد کرده است که مجرمان سایبری مشتاق بهره برداری از آن هستند.
«محیطهای ابری حاوی مقادیر وسیعی از دادههای حساس است که هم برای بازیگران بد و هم برای گروههای دولت-ملت جذاب است. ماهیت توزیعشده زیرساختهای ابری، تأمین سریع منابع، و رواج پیکربندیهای نادرست، چالشهای امنیتی بزرگی را ایجاد کرده است.»
چگونه هکرهای SVR شناسایی نمی شوند
در یادداشت های مشاوره ای آمده است که پراکسی های مسکونی و حساب های غیرفعال نیز ابزار بسیار مفیدی برای هکرهای SVR هستند.
حسابهای غیرفعال معمولاً زمانی ایجاد میشوند که یک کارمند سازمان را ترک میکند اما حسابش فعال باقی میماند. هکرهایی که به یک حساب غیرفعال دسترسی دارند، می توانند هر گونه بازنشانی رمز عبور اعمال شده توسط یک سازمان پس از نقض امنیتی را دور بزنند. آنها به سادگی وارد حساب کاربری غیرفعال یا غیرفعال می شوند و دستورالعمل های بازنشانی رمز عبور را دنبال می کنند. در این بیانیه آمده است: «این به بازیگر اجازه داد تا پس از اخراج در یک حادثه دوباره دسترسی پیدا کند.
به طور مشابه، شرکتکنندگان SVR از پروکسیهای خانگی برای پوشاندن موقعیت مکانی خود استفاده میکنند و طوری به نظر میرسند که گویی ترافیک شبکه آنها از یک آدرس IP مجاور سرچشمه میگیرد. این امر شناسایی فعالیتهای مشکوک شبکه را برای سازمان قربانی دشوارتر میکند و باعث میشود دفاعهای امنیت سایبری که از آدرسهای IP به عنوان شاخصهای فعالیت مشکوک استفاده میکنند، مؤثر نباشد.
این مشاوره گفت: «از آنجایی که دفاع در سطح شبکه تشخیص فعالیت مشکوک را بهبود می بخشد، شرکت کنندگان SVR به دنبال راه های دیگری برای پنهان ماندن در اینترنت هستند.
چالش های ایمن سازی شبکه های ابری
اگرچه به طور خاص در این توصیه ذکر نشده است، لوئیس گفت که توسعه هوش مصنوعی مولد چالشهای بیشتری را برای ایمن کردن محیطهای ابری ایجاد میکند – یعنی مهاجمان از این فناوری برای ایجاد حملات فیشینگ پیچیدهتر و تکنیکهای مهندسی اجتماعی استفاده میکنند.
او همچنین پیشنهاد کرد که بسیاری از سازمانها از امنیت ابری خودداری کنند زیرا تصور میکنند که این مسئولیت بر عهده ارائهدهنده خدمات ابری است، در حالی که در واقع این یک مسئولیت مشترک است.
دانلود کنید: این سیاست آگاهی امنیتی و آموزشی از TechRepublic Premium
بسیاری از سازمانها به اشتباه تصور میکنند که ارائهدهنده ابر تمام جنبههای امنیت را مدیریت میکند. با این حال، در حالی که ارائهدهنده حفاظت از زیرساختهای اساسی را فراهم میکند، مشتری مسئولیت پیکربندی صحیح منابع، مدیریت هویت و دسترسی و امنیت در سطح برنامه را بر عهده دارد.
رهبران کسب و کار باید با سرمایه گذاری در مهارت ها، ابزارها و فرآیندهای مناسب، امنیت ابر را جدی بگیرند. آنها باید اطمینان حاصل کنند که کارمندان معماری ابری و آموزش های امنیتی دارند تا از پیکربندی های اشتباه بزرگ جلوگیری کنند. آنها همچنین باید مدل مسئولیت مشترک را بپذیرند تا دقیقا بدانند چه چیزی در حیطه وظایفشان است.»
توصیه NCSC در مورد ایمن ماندن در توصیه SVR
هیئت مشورتی NCSC بر اهمیت مبانی امنیت سایبری تاکید دارد که عبارتند از:
- عملکرد وزارت خارجه
- از رمزهای عبور حساب کاربری قوی و منحصر به فرد استفاده کنید.
- کاهش طول عمر جلسات برای توکن ها و جلسات کاربر.
- یک اصل کمترین امتیاز را برای حساب های سیستم و خدمات اعمال کنید، که در آن هر حساب فقط حداقل سطوح دسترسی لازم برای انجام وظایف خود را دارد.
این امر آسیب احتمالی ناشی از حسابهای در معرض خطر را به حداقل میرساند و سطح دسترسی مهاجمان را محدود میکند. در این توصیه نامه آمده است: “یک پایه خوب از اصول اساسی امنیت سایبری می تواند حتی تهدیدی به پیچیده بودن SVR را نفی کند، بازیگری که قادر به سازش زنجیره تامین جهانی مانند سازش SolarWinds 2020 است.”
دانلود کنید: این سیاست امنیتی ابری از TechRepublic Premium
علاوه بر این، هیئت مدیره پیشنهاد ایجاد حساب برای خدمات قناری – یعنی. حساب هایی که به نظر قانونی می رسند اما در واقع برای نظارت بر فعالیت های مشکوک در وب استفاده می شوند. خطمشیهای ثبت با لمس صفر باید در صورت امکان اجرا شوند تا فقط دستگاههای مجاز بتوانند بهطور خودکار به شبکه اضافه شوند، و سازمانها باید «منابع مختلف اطلاعات، مانند رویدادهای برنامهها و گزارشهای مبتنی بر میزبان را برای کمک به پیشگیری، شناسایی و بررسی در نظر بگیرند. رفتار مخرب بالقوه.”
لوئیس بر اهمیت همکاری در پاسخ به چشمانداز تهدید در حال تغییر و همچنین حصول اطمینان از برخورداری کسبوکارها از مهارتها، افراد و فرآیندهای مناسب برای دفاع در برابر تهدیدات جدید و نوظهور تأکید کرد.
همکاری جهانی بین آژانسها و شرکتهای امنیت سایبری برای شناسایی و پاسخ به تهدیدات پیچیده حیاتی است. مهاجمانی مانند APT29 جهانی فکر می کنند، بنابراین مدافعان نیز باید فکر کنند.
به اشتراک گذاری اطلاعات در مورد تاکتیک های جدید به سازمان ها در سراسر جهان این امکان را می دهد که دفاع خود را بهبود بخشند و به سرعت پاسخ دهند. هیچ آژانس یا شرکتی به تنهایی دید کاملی ندارد.»