Membrii aliantelor de inteligenta Five Eyes (FVEY) au avertizat astazi ca hackerii APT29 ai Serviciului de Informatii Externe Rus (SVR) trec acum la atacuri care vizeaza serviciile in cloud ale victimelor lor.
APT29 (cunoscut si sub numele de Cozy Bear, Midnight Blizzard, The Dukes) au spart mai multe agentii federale americane in urma atacului asupra lantului de aprovizionare SolarWinds pe care l-au orchestrat acum mai bine de trei ani.
Ciber-spionii rusi au compromis, de asemenea, conturile Microsoft 365 apartinand diferitelor entitati din tarile NATO pentru a obtine date legate de politica externa si au vizat guverne, ambasade si oficiali de rang inalt din Europa in cadrul unei serii de atacuri de tip phishing.
Mai recent, Microsoft a confirmat in ianuarie ca grupul de hackeri ai Serviciului de Informatii Externe Rus a spart conturile Exchange Online ale executivilor sai si ale utilizatorilor din alte organizatii in noiembrie 2023.
Astazi, un avertisment comun emis de Centrul National pentru Securitate Cibernetica (NCSC) din Marea Britanie, NSA, CISA, FBI si agentiile de securitate cibernetica din Australia, Canada si Noua Zeelanda a avertizat ca grupul de amenintare rus se muta treptat catre atacuri impotriva infrastructurii in cloud.
„Pe masura ce organizatiile isi modernizeaza sistemele si trec la infrastructura bazata pe cloud, SVR s-a adaptat la aceste schimbari din mediul operational,” se arata in avertisment.
„Ei trebuie sa treaca de la mijloacele lor traditionale de acces initial, cum ar fi exploatarea vulnerabilitatilor de software intr-o retea locala, si sa vizeze in schimb serviciile in cloud in sine.”
Asa cum au descoperit agentiile Five Eyes, hackerii APT29 acum obtin acces la mediile cloud ale tintelor lor folosind informatii de autentificare ale conturilor de servicii compromise prin atacuri de tip brute forcing sau password spraying.
In plus, ei folosesc conturi inactive care nu au fost niciodata eliminate dupa ce utilizatorii au parasit organizatiile vizate, permițandu-le, de asemenea, sa recapete accesul dupa resetarile de parole la nivel de sistem.
Vectorii initiali de atac in cloud ai APT29 includ, de asemenea, utilizarea tokenurilor de acces furate care le permit sa preiau conturile fara a folosi informatii de autentificare, rutere rezidentiale compromise pentru a-si proxia activitatile malitioase, oboseala MFA pentru a ocoli autentificarea multifactoriala (MFA) si inregistrarea propriilor dispozitive ca dispozitive noi in tenantii cloud ai victimelor.
Dupa ce obtin accesul initial, hackerii SVR folosesc instrumente sofisticate precum malware-ul MagicWeb (care le permite sa se autentifice ca orice utilizator dintr-o retea compromisa) pentru a evita detectarea in retelele victimelor, in principal organizatii guvernamentale si critice din Europa, Statele Unite si Asia.
Prin urmare, mitigarea vectorilor de acces initial ai APT29 ar trebui sa fie in varful listei pentru aparatorii retelei cand lucreaza pentru blocarea atacurilor lor.
Aparatorii retelei sunt sfatuiti sa activeze autentificarea multifactoriala oriunde si ori de cate ori este posibil, impreuna cu parole puternice, sa foloseasca principiul celui mai mic privilegiu pentru toate conturile de sistem si de serviciu, sa creeze conturi de serviciu canary pentru a detecta mai rapid compromisurile si sa reduca durata de viata a sesiunilor pentru a bloca utilizarea tokenurilor de sesiune furate.
De asemenea, ei ar trebui sa permita inregistrarea dispozitivelor doar pentru dispozitivele autorizate si sa monitorizeze indicatorii de compromitere care ar oferi cel mai mic numar de rezultate fals pozitive atunci cand monitorizeaza bresele de securitate.
„Pentru organizatiile care au trecut la infrastructura in cloud, o prima linie de aparare impotriva unui actor precum SVR ar trebui sa fie protectia impotriva TTP-urilor SVR pentru acces initial,” au declarat aliatii Five Eyes.
„Urmand mitigarile descrise in acest avertisment, organizatiile vor fi intr-o pozitie mai puternica pentru a se apara impotriva acestei amenintari.”
HPE: Hackerii rusi au spart conturile de email ale echipei sale de securitate
Guv. SUA impartaseste sfaturi de aparare impotriva ciberneticelor pentru utilitatile de apa
Microsoft dezvaluie cum au fost sparte conturile sale Exchange Online de catre hackeri
Hackerii rusi au furat emailuri corporate Microsoft intr-un breach de o luna
Microsoft extinde capacitatile de logare gratuite dupa breach-ul din mai
Leave a Reply