Οι ερευνητές της κυβερνοασφάλειας περιγράφουν λεπτομερώς τις επιθέσεις που εκμεταλλεύονται νόμιμες υπηρεσίες cloud σε προσπάθειες πρόσβασης σε ευαίσθητα δεδομένα.

Μια εκστρατεία hacking και κυβερνοκατασκοπείας καταχράται νόμιμες υπηρεσίες cloud ως μέρος μιας μυστικής επιχείρησης για την κλοπή ευαίσθητων πληροφοριών από στόχους υψηλού προφίλ.

Οργανισμοί σε όλο τον κόσμο χρησιμοποιούν υπηρεσίες cloud για να διεξάγουν καθημερινές λειτουργίες, ιδιαίτερα μετά τη στροφή προς την υβριδική εργασία. Οι εφαρμογές cloud παρέχουν ένα απλό μέσο εργασίας, ανεξάρτητα από το πού βρίσκεται ο χρήστης, κάτι που έχει καταστεί ζωτικής σημασίας για τους εργαζόμενους που εργάζονται απομακρυσμένα.

Ωστόσο, δεν είναι μόνο οι επιχειρήσεις και οι εργαζόμενοι που μπορούν να επωφεληθούν από τις cloud υπηρεσίες.

Και σύμφωνα με ερευνητές κυβερνοασφάλειας στη Unit 42 στο Palo Alto Networks, αυτό ακριβώς κάνουν οι χάκερ που εργάζονται για λογαριασμό μιας ομάδας advanced persistent threat (APT) που ονομάζεται Cloaked Ursa – επίσης γνωστή ως APT29, Nobelium και Cozy Bear.

Η ομάδα Cloaked Ursa πιστεύεται ευρέως ότι συνδέεται με τη Ρωσική Υπηρεσία Εξωτερικών Πληροφοριών (SVR), υπεύθυνη για πολλές μεγάλες κυβερνοεπιθέσεις, συμπεριλαμβανομένης της επίθεσης στην αλυσίδα εφοδιασμού κατά της SolarWinds, της εισβολής της Δημοκρατικής Εθνικής Επιτροπής των ΗΠΑ (DNC) και εκστρατειών κατασκοπείας που στοχεύουν κυβερνήσεις και πρεσβείες σε όλο τον κόσμο.

Τώρα προσπαθούν να χρησιμοποιήσουν νόμιμες υπηρεσίες cloud, συμπεριλαμβανομένων των Google Drive και Dropbox – και έχουν ήδη χρησιμοποιήσει αυτήν την τακτική ως μέρος επιθέσεων που πραγματοποιήθηκαν μεταξύ Μαΐου και Ιουνίου του τρέχοντος έτους.

Οι επιθέσεις ξεκινούν με μηνύματα phishing που αποστέλλονται σε στόχους ευρωπαϊκών πρεσβειών, τα οποία παρουσιάζονται ως προσκλήσεις σε συναντήσεις με πρεσβευτές, με μια υποτιθέμενη ατζέντα επισυναπτόμενη ως PDF.

Το PDF είναι κακόβουλο και, εάν λειτουργήσει όπως είχε προβλεφθεί, θα καλέσει έναν λογαριασμό Dropbox που διαχειρίζεται οι εισβολείς να παραδώσει κρυφά το Cobalt Strike στη συσκευή του θύματος. Ωστόσο, αυτή η αρχική έκκληση ήταν ανεπιτυχής νωρίτερα μέσα στην χρονιά, κάτι που αναφέρουν οι ερευνητές ότι οφείλεται σε περιοριστικές πολιτικές στα εταιρικά δίκτυα σχετικά με τη χρήση υπηρεσιών τρίτων.

Αλλά οι εισβολείς προσαρμόστηκαν, στέλνοντας παρόμοια μηνύματα phishing ως δεύτερο δέλεαρ, αλλά αντ’ αυτού χρησιμοποιούσαν την επικοινωνία με λογαριασμούς Google Drive για να κρύψουν τις ενέργειές τους και να αναπτύξουν payloads Cobalt Strike και malware σε στοχευμένα περιβάλλοντα. Φαίνεται ότι αυτή η προειδοποίηση δεν αποκλείστηκε, πιθανότατα επειδή πολλοί χώροι εργασίας χρησιμοποιούν εφαρμογές Google ως μέρος των καθημερινών λειτουργιών, επομένως ο αποκλεισμός του Drive θα προκαλούσε θέμα στην παραγωγικότητα.

Όπως πολλές καμπάνιες αυτού του είδους, πιθανότατα η πρόθεση ήταν να χρησιμοποιηθεί malware για να δημιουργήσει ένα backdoor σε ένα μολυσμένο δίκτυο και να κλέψει ευαίσθητες πληροφορίες, είτε για χρήση σε περαιτέρω επιθέσεις είτε για εκμετάλλευση με άλλους τρόπους. Η Unit 42 δεν έχει διευκρινίσει εάν οι καμπάνιες διείσδυσαν με επιτυχία σε δίκτυα ή όχι.

Η Unit 42 έχει ειδοποιήσει τόσο το Dropbox όσο και την Google για κατάχρηση των υπηρεσιών τους και έχουν ληφθεί μέτρα κατά των λογαριασμών που χρησιμοποιούνται ως μέρος επιθέσεων.

Η χρήση υπηρεσιών cloud παρέχει πολλά οφέλη τόσο για τις επιχειρήσεις όσο και για το προσωπικό – αλλά είναι σημαντικό να διασφαλιστεί ότι η ασφάλεια των εφαρμογών και υπηρεσιών cloud γίνεται σωστά για να αποτραπεί η εκμετάλλευση αυτών των εργαλείων από τους χάκερ.

Πηγή: zdnet.com