هشدار آمریکا و متحدانش درباره هکرهای روسی که به سمت حملات ابری روی آورده‌اند

اخیراً، مایکروسافت تأیید کرد که هکرهای سرویس اطلاعات خارجی روسیه به حساب‌های Exchange Online  مدیران و کاربران سایر سازمان‌ها در نوامبر 2023 نفوذ کرده‌اند.
 

سرویس‌های ابری : هدف حمله

پیام مشترکی که توسط مرکز ملی امنیت سایبری بریتانیا (NCSC)، NSA، CISA،  FBI و آژانس های امنیت سایبری از استرالیا، کانادا و نیوزلند صادر شد، هشدار داد که گروه تهدید روسیه به تدریج به سمت حملات علیه زیرساخت ابری این کشورها حرکت می‌کند. 

در این توصیه نامه آمده است:« در حالی که سازمان‌ها به مدرن‌سازی سیستم‌های خود و حرکت به زیرساخت‌های مبتنی بر ابرادامه می دهند، سرویس اطلاعات خارجی روسیه نیز با این تغییرات در محیط عملیاتی سازگار شده است. آن‌ها باید فراتر از ابزارهای سنتی دسترسی اولیه خود، مانند بهره برداری از آسیب پذیری‌های نرم افزاری در یک شبکه داخلی، حرکت کنند و در عوض خود سرویس‌های ابری را هدف قرار دهند.»

همانطور که آژانس‌های Five Eyes دریافتند، هکرهای APT29 اکنون با استفاده از اعتبار حساب سرویس دسترسی که در حملات یا پاشش رمز عبور به خطر افتاده است، به محیط‌های ابری اهداف خود دسترسی پیدا می‌کنند.

علاوه بر این، آن‌ها از حساب‌های غیرفعال استفاده می‌کنند که پس از خروج کاربران از سازمان‌های هدف، هرگز حذف نشده‌اند، همچنین به آن‌ها امکان می‌دهد پس از بازنشانی رمز عبور در سراسر سیستم، دوباره دسترسی پیدا کنند.

بردارهای اولیه نفوذ ابری APT29 شامل استفاده از توکن‌های دسترسی به سرقت رفته است که به آن‌ها امکان می‌دهد بدون استفاده از اعتبارنامه، اکانت‌ها را بربایند،  از روترهای مسکونی در معرض خطر برای پراکسی کردن فعالیت‌های مخرب خود استفاده کنند و دستگاه‌های خود را به عنوان دستگاه‌های جدید درسرویس ابر قربانیان ثبت کنند.
 

نحوه شناسایی حملات ابری سرویس اطلاعات خارجی روسیه

پس از دسترسی‌های اولیه، هکرها از ابزارهای پیچیده‌ای مانند بدافزار MagicWeb که به آن‌ها اجازه می‌دهد تا به عنوان  کاربر در یک شبکه احراز هویت شوند، استفاده می‌کنند تا از شناسایی در شبکه‌های قربانیان، عمدتاً دولتی و سازمان‌های حیاتی در اروپا، ایالات متحده و آسیا جلوگیری کنند.

بنابراین، کاهش دسترسی اولیه APT29 باید در اولویت بالایی برای مدافعان شبکه برای مسدود کردن حملات آن‌ها قرار گیرد.
به متخصصان امنیت شبکه توصیه می‌شود که احراز هویت چند مرحله‌ای را در هر کجا و هر زمان که ممکن است، همراه با رمزعبور قوی استفاده کنند. آن‌ها همچنین باید فقط اجازه ثبت نام  را برای دستگاه‌های مجاز بدهند و برای شاخص‌های سازش که کمترین میزان مثبت کاذب را هنگام نظارت بر نقض‌های امنیتی به دست می‌آورند، نظارت کنند.

متحدان Five Eyes می‌گویند: «برای سازمان‌هایی که به زیرساخت‌های ابری دارند، اولین خط دفاع در برابر بازیگری مانند سرویس اطلاعات روسی، محافظت در برابر TTP(تاکتیک های تروریستی، تکنیک ها و اقدامات) برای دسترسی اولیه باشد.»
با پیروی از اقدامات کاهشی ذکر شده در این توصیه، سازمان‌ها در موقعیت قدرتمندتری برای دفاع در برابر این تهدید خواهند بود.