סביבת העבודה שלאחר המגפה הביאה לשינויים משמעותיים בנוף אבטחת הרשת. ארגונים החלו להסתמך יותר על פתרונות אחסון בענן, כמו Google Drive ו-Dropbox, כדי לבצע את הפעולות היומיומיות שלהם.

שירותי אחסון בענן מספקים דרך פשוטה ומאובטחת לתת מענה לצרכים של כוח עבודה מרוחק. אבל לא רק עסקים ועובדים מנצלים את השירותים הללו. האקרים מוצאים דרכים למנף את האמון בשירותי ענן ולהקשות מאוד על זיהוי ההתקפות שלהם.

איך זה קרה? בוא נגלה!

כיצד האקרים משתמשים בשירותי אחסון בענן כדי להימנע מזיהוי?

למרות ששירותי אחסון ענן מוצפנים הם בדרך כלל מהימנים על ידי משתמשים, זה יכול להיות קשה מאוד לחברות לזהות פעילות זדונית. באמצע יולי 2022, חוקרים ב- Palo Alto Networks גילה פעילות זדונית הממנפת שירותי ענן על ידי קבוצה בשם Cloaked Ursa - הידועה גם בשם APT29 ו-Cozy Bear.

לקבוצה יש קשרים עם ממשלת רוסיה והיא אחראית למתקפות סייבר נגד הוועדה הלאומית הדמוקרטית של ארה"ב (DNC) ו-2020 פריצת שרשרת האספקה ​​של SolarWinds. היא גם מעורבת במספר קמפיינים של ריגול סייבר נגד פקידי ממשל ושגרירויות ברחבי העולם.

הקמפיין הבא שלה כולל שימוש בפתרונות אחסון ענן לגיטימיים כמו Google Drive ו-Dropbox כדי להגן על הפעילות שלהם. הנה איך הקבוצה מנהלת את ההתקפות האלה.

instagram viewer

המודוס אופרנדי של ההתקפה

המתקפה מתחילה במיילים דיוגים שנשלחו ליעדים בעלי פרופיל גבוה בשגרירויות אירופה. הוא מתחזה למזמין לפגישות עם שגרירים ומגיע עם אג'נדה כביכול בקובץ PDF מצורף זדוני.

הקובץ המצורף מכיל קובץ HTML זדוני (EnvyScout) מתארח ב-Dropbox שיקל על משלוח קבצים זדוניים אחרים, כולל מטען Cobalt Strike למכשיר המשתמש.

חוקרים משערים שהנמען לא יכול היה לגשת תחילה לקובץ ב-Dropbox, כנראה בגלל מדיניות ממשלתית מגבילה לגבי יישומי צד שלישי. עם זאת, התוקפים מיהרו לשלוח דוא"ל דיוג שני בחנית עם קישור לקובץ HTML הזדוני.

במקום להשתמש ב-Dropbox, ההאקרים מסתמכים כעת על שירותי האחסון של Google Drive כדי להסתיר את פעולותיהם ולספק מטענים לסביבת היעד. הפעם, השביתה לא נחסמה.

מדוע האיום לא נחסם?

נראה שמכיוון שמקומות עבודה רבים מסתמכים כעת על יישומי גוגל, כולל ה-Drive לנהל את הפעילות השוטפת שלהם, חסימת שירותים אלה נתפסת בדרך כלל כלא יעילה פִּריוֹן.

האופי הנפוצה של שירותי הענן והאמון של הלקוחות בהם הופכים את האיום החדש הזה למאתגר ביותר או אפילו בלתי אפשרי לזיהוי.

מהי מטרת המתקפה?

כמו התקפות סייבר רבות, נראה שהכוונה הייתה להשתמש בתוכנה זדונית וליצור דלת אחורית לרשת נגועה כדי לגנוב נתונים רגישים.

יחידה 42 ברשת פאלו אלטו התריעה גם ב-Google Drive וגם ב-Dropbox על ניצול לרעה של השירותים שלהם. דווח שננקטו צעדים מתאימים נגד חשבונות המעורבים בפעילות הזדונית.

כיצד להתגונן מפני התקפות סייבר בענן

מכיוון שרוב הכלים נגד תוכנות זדוניות ואיתור מתמקדים יותר בקבצים שהורדו במקום בקבצים בענן, האקרים פונים כעת לשירותי אחסון בענן כדי להימנע מזיהוי. למרות שלא קל לזהות ניסיונות דיוג כאלה, ישנם צעדים שאתה יכול לנקוט כדי לצמצם את הסיכונים.

  • הפעל אימות רב-גורמי עבור החשבונות שלך: גם אם אישורי משתמש מתקבלים באופן זה, ההאקר עדיין ידרוש גישה למכשיר שמבצע גם את האימות הרב-גורמי.
  • החל את זכות העיקרון הכי פחות: חשבון משתמש או מכשיר צריכים רק מספיק גישה הדרושה למקרה ספציפי.
  • בטל גישה מוגזמת למידע רגיש: ברגע שמשתמש מקבל גישה לאפליקציה, זכור לבטל את ההרשאות הללו כאשר הגישה אינה נחוצה עוד.

מהי המפתח?

שירותי אחסון בענן היו מחליף משחק ענק עבור ארגונים כדי לייעל את המשאבים, לייעל את התפעול, לחסוך זמן ולהוריד חלק מהאחריות האבטחה מהצלחת שלהם.

אבל כפי שברור ממתקפות כאלה, האקרים החלו למנף תשתית ענן ליצירת התקפות שקשה יותר לזהות. הקובץ הזדוני יכול היה להתארח ב-Microsoft OneDrive, Amazon AWS או כל שירות אחסון ענן אחר.

הבנת וקטור האיום החדש הזה חשובה, אבל החלק הקשה הוא לשים בקרות כדי לזהות ולהגיב אליו. ונראה שאפילו השחקנים הדומיננטיים בטכנולוגיה נאבקים בזה.