جاسوسان سایبری روسیه حسابهای مایکروسافت 365 متعلق به نهادهای مختلف در کشورهای ناتو را به خطر انداختند تا دادههای مربوط به سیاست خارجی را به دست آورند و دولتها، سفارتها و مقامات ارشد را در سراسر اروپا که در یک رشته حملات فیشینگ مرتبط بودند، هدف قرار دادند.
اخیراً، مایکروسافت تأیید کرد که هکرهای سرویس اطلاعات خارجی روسیه به حسابهای Exchange Online مدیران و کاربران سایر سازمانها در نوامبر 2023 نفوذ کردهاند.
سرویسهای ابری : هدف حمله
پیام مشترکی که توسط مرکز ملی امنیت سایبری بریتانیا (NCSC)، NSA، CISA، FBI و آژانس های امنیت سایبری از استرالیا، کانادا و نیوزلند صادر شد، هشدار داد که گروه تهدید روسیه به تدریج به سمت حملات علیه زیرساخت ابری این کشورها حرکت میکند.
در این توصیه نامه آمده است:« در حالی که سازمانها به مدرنسازی سیستمهای خود و حرکت به زیرساختهای مبتنی بر ابرادامه می دهند، سرویس اطلاعات خارجی روسیه نیز با این تغییرات در محیط عملیاتی سازگار شده است. آنها باید فراتر از ابزارهای سنتی دسترسی اولیه خود، مانند بهره برداری از آسیب پذیریهای نرم افزاری در یک شبکه داخلی، حرکت کنند و در عوض خود سرویسهای ابری را هدف قرار دهند.»
همانطور که آژانسهای Five Eyes دریافتند، هکرهای APT29 اکنون با استفاده از اعتبار حساب سرویس دسترسی که در حملات یا پاشش رمز عبور به خطر افتاده است، به محیطهای ابری اهداف خود دسترسی پیدا میکنند.
علاوه بر این، آنها از حسابهای غیرفعال استفاده میکنند که پس از خروج کاربران از سازمانهای هدف، هرگز حذف نشدهاند، همچنین به آنها امکان میدهد پس از بازنشانی رمز عبور در سراسر سیستم، دوباره دسترسی پیدا کنند.
بردارهای اولیه نفوذ ابری APT29 شامل استفاده از توکنهای دسترسی به سرقت رفته است که به آنها امکان میدهد بدون استفاده از اعتبارنامه، اکانتها را بربایند، از روترهای مسکونی در معرض خطر برای پراکسی کردن فعالیتهای مخرب خود استفاده کنند و دستگاههای خود را به عنوان دستگاههای جدید درسرویس ابر قربانیان ثبت کنند.
نحوه شناسایی حملات ابری سرویس اطلاعات خارجی روسیه
پس از دسترسیهای اولیه، هکرها از ابزارهای پیچیدهای مانند بدافزار MagicWeb که به آنها اجازه میدهد تا به عنوان کاربر در یک شبکه احراز هویت شوند، استفاده میکنند تا از شناسایی در شبکههای قربانیان، عمدتاً دولتی و سازمانهای حیاتی در اروپا، ایالات متحده و آسیا جلوگیری کنند.
بنابراین، کاهش دسترسی اولیه APT29 باید در اولویت بالایی برای مدافعان شبکه برای مسدود کردن حملات آنها قرار گیرد.
به متخصصان امنیت شبکه توصیه میشود که احراز هویت چند مرحلهای را در هر کجا و هر زمان که ممکن است، همراه با رمزعبور قوی استفاده کنند. آنها همچنین باید فقط اجازه ثبت نام را برای دستگاههای مجاز بدهند و برای شاخصهای سازش که کمترین میزان مثبت کاذب را هنگام نظارت بر نقضهای امنیتی به دست میآورند، نظارت کنند.
متحدان Five Eyes میگویند: «برای سازمانهایی که به زیرساختهای ابری دارند، اولین خط دفاع در برابر بازیگری مانند سرویس اطلاعات روسی، محافظت در برابر TTP(تاکتیک های تروریستی، تکنیک ها و اقدامات) برای دسترسی اولیه باشد.»
با پیروی از اقدامات کاهشی ذکر شده در این توصیه، سازمانها در موقعیت قدرتمندتری برای دفاع در برابر این تهدید خواهند بود.
منبع: https://www.itna.ir/news/77676/%D9%87%D8%B4%D8%AF%D8%A7%D8%B1-%D8%A2%D9%85%D8%B1%DB%8C%DA%A9%D8%A7-%D9%85%D8%AA%D8%AD%D8%AF%D8%A7%D9%86%D8%B4-%D8%AF%D8%B1%D8%A8%D8%A7%D8%B1%D9%87-%D9%87%DA%A9%D8%B1%D9%87%D8%A7%DB%8C-%D8%B1%D9%88%D8%B3%DB%8C-%D8%B3%D9%85%D8%AA-%D8%AD%D9%85%D9%84%D8%A7%D8%AA-%D8%A7%D8%A8%D8%B1%DB%8C-%D8%B1%D9%88%DB%8C-%D8%A2%D9%88%D8%B1%D8%AF%D9%87-%D8%A7%D9%86%D8%AF