Британский NCSC выпустил предупреждение, поскольку хакеры SVR нацелены на облачные сервисы

Российские государственные хакеры адаптируют свои методы для нападения на организации, переходящие в облако, предупреждают в рекомендациях Национального центра кибербезопасности Великобритании и международных агентств безопасности.

В сообщении подробно описывается, как группа кибершпионажа APT29 напрямую устраняет слабые места в облачных сервисах, используемых организациями-жертвами для получения первоначального доступа к своим системам. APT29 также расширяет сферу своих атак за пределы правительств, аналитических центров, поставщиков услуг здравоохранения и энергетики, включая жертв в авиации, образовании, правоохранительных органах, местных советах и ​​советах штатов, правительственных финансовых департаментах и ​​военных организациях. APT29 был связан со Службой внешней разведки России.

Рекомендации призывают организации устранить распространенные уязвимости в своих облачных средах, удалив неактивные учетные записи, включив многофакторную аутентификацию и создав канареечные учетные записи для мониторинга подозрительной активности.

Кто такой APT29?

APT29, также известная как Cosy Bear, Midnight Blizzard или Dukes, представляет собой группу кибершпионажа, которая, как широко полагают, является виновником печально известной атаки SolarWinds 2020 года, которая использовала уязвимости в сети Orion и оказала разрушительное воздействие на правительственные учреждения США. и различные компании частного сектора.

Хакерскую группу также обвинили в недавней атаке на Microsoft с использованием распыления паролей, в результате которой было взломано небольшое количество учетных записей корпоративной электронной почты.

Как APT29 адаптирует свои кибератаки, чтобы сосредоточиться на облачных средах и «бомбардировках MFA»

Согласно сообщению, за последние 12 месяцев APT29 наблюдался с использованием ряда методов, которые позволяют предположить, что он адаптируется к переходу к облачным операционным средам в государственном и частном секторах.

В частности, группа все чаще использует слабые места облачных сервисов, используемых организациями для получения первоначального доступа к сетям. Это знаменует собой отход от традиционных методов атак, используемых группой, а именно от тех, которые нацелены на локальное оборудование.

Методы, используемые APT29, включают распыление паролей и атаки методом перебора, нацеленные на учетные записи, которые либо неактивны, либо не управляются человеком, и используются для управления другими приложениями в сети.

«Этот тип учетной записи обычно используется для запуска приложений и служб и управления ими. За ними не стоит человек-пользователь, поэтому их невозможно легко защитить с помощью многофакторной аутентификации (MFA), что делает эти учетные записи более восприимчивыми к успешному взлому», — отмечается в рекомендациях.

«Учетные записи служб часто также имеют высокие привилегии в зависимости от того, за управление какими приложениями и службами они отвечают. Получение доступа к этим учетным записям предоставляет злоумышленникам привилегированный первоначальный доступ к сети для запуска дальнейших операций».

APT29 также использует слабые места в протоколах MFA посредством «бомбардировки MFA», которая включает бомбардировку устройства жертвы запросами аутентификации до тех пор, пока они не устанут принимать — случайно или по каким-либо причинам.

Обходя MFA, хакеры могут зарегистрировать собственное устройство в сети и получить более глубокий доступ к системам организации-жертвы. Также было замечено, что субъекты СВР крадут жетоны аутентификации, выданные системой, что позволяет им получать доступ к учетным записям жертв без необходимости ввода пароля.

Тоби Льюис, руководитель отдела анализа угроз британской компании по кибербезопасности Darktrace, сказал, что изменение тактики APT29 высветило некоторые «врожденные проблемы» в обеспечении безопасности облачной инфраструктуры.

«Увеличение миграции данных и рабочей нагрузки в облако открыло новые возможности для атак, которые киберпреступники стремятся использовать», — сообщил Льюис TechRepublic по электронной почте.

«Облачная среда содержит огромные объемы конфиденциальных данных, которые одинаково интересны как злоумышленникам, так и группам национальных государств. Распределенный характер облачной инфраструктуры, быстрое предоставление ресурсов и распространенность неправильных конфигураций создают серьезные проблемы безопасности».

Как хакеры СВР остаются незамеченными

Резидентные прокси-серверы и спящие учетные записи также оказываются очень полезными инструментами для хакеров СВР, говорится в консультативных примечаниях.

Неактивные учетные записи обычно создаются, когда сотрудник покидает организацию, но его учетная запись остается активной. Хакеры, имеющие доступ к неактивной учетной записи, могут обойти любой сброс пароля, наложенный организацией после нарушения безопасности, говорится в рекомендациях; они просто входят в неактивную или неактивную учетную запись и следуют инструкциям по сбросу пароля. «Это позволило актеру восстановить доступ после действий по выселению в ответ на инцидент», — говорится в сообщении.

Аналогично, субъекты СВР используют резидентные прокси-серверы, чтобы замаскировать свое местоположение и создать впечатление, будто их сетевой трафик исходит с ближайшего IP-адреса. Это затрудняет организации-жертве обнаружение подозрительной сетевой активности и делает средства защиты кибербезопасности, использующие IP-адреса в качестве индикаторов подозрительной активности, менее эффективными.

«Поскольку средства защиты на уровне сети улучшают обнаружение подозрительной активности, участники СВР стали искать другие способы оставаться незамеченными в Интернете», — говорится в сообщении.

Проблемы обеспечения безопасности облачных сетей

Хотя это конкретно не упоминается в рекомендации, Льюис сказал, что разработки в области генеративного искусственного интеллекта создают дополнительные проблемы для обеспечения безопасности облачных сред, а именно то, что злоумышленники используют эту технологию для создания более сложных фишинговых атак и методов социальной инженерии.

Он также предположил, что многие организации переходят на облачную безопасность, поскольку считают, что это ответственность поставщика облачных услуг, хотя на самом деле это общая ответственность.

СКАЧАТЬ: Настоящая политика информирования о безопасности и обучения на сайте TechRepublic Premium.

«Многие организации ошибочно полагают, что поставщик облачных услуг возьмет на себя все аспекты безопасности. Однако, хотя провайдер обеспечивает безопасность базовой инфраструктуры, клиент сохраняет ответственность за правильную настройку ресурсов, управление идентификацией и доступом, а также безопасность на уровне приложений», — сказал он.

«Бизнес-лидеры должны серьезно относиться к облачной безопасности, инвестируя в соответствующие навыки, инструменты и процессы. Они должны обеспечить, чтобы сотрудники прошли обучение по облачной архитектуре и безопасности, чтобы избежать элементарных ошибок в конфигурации. Им также следует принять модель совместной ответственности, чтобы точно знать, что входит в их компетенцию».

Советы NCSC по обеспечению безопасности в отношении рекомендаций SVR

В рекомендации NCSC подчеркивается важность основ кибербезопасности, которые включают в себя:

Внедрение МФА. Использование надежных и уникальных паролей для учетных записей. Сокращение времени жизни сессий для токенов и пользовательских сессий. Реализация принципа наименьших привилегий для системных и сервисных учетных записей, согласно которому каждой учетной записи предоставляется только минимальный уровень доступа, необходимый для выполнения ее функций.

Это сводит к минимуму потенциальный ущерб от скомпрометированных учетных записей и ограничивает уровень доступа, который могут получить злоумышленники. «Хороший базовый уровень основ кибербезопасности может противостоять даже такой сложной угрозе, как SVR, игроку, способному осуществить компрометацию глобальной цепочки поставок, такую ​​​​как компрометация SolarWinds 2020 года», — отмечается в сообщении.

СКАЧАТЬ: эту политику облачной безопасности на сайте TechRepublic Premium.

Помимо этого, в рекомендациях предлагается настроить учетные записи канареечных служб, то есть учетные записи, которые выглядят законными, но на самом деле используются для мониторинга подозрительной активности в сети. Политики автоматической регистрации должны быть реализованы там, где это возможно, чтобы только авторизованные устройства могли автоматически добавляться в сеть, а организациям следует «рассматривать различные источники информации, такие как события приложений и журналы на базе хоста, чтобы помочь предотвратить, обнаружить и расследовать потенциальные вредоносные действия». поведение."

Льюис подчеркнул важность сотрудничества в реагировании на меняющуюся картину угроз, а также в обеспечении предприятий необходимыми навыками, людьми и процессами для защиты от новых и возникающих угроз.

«Глобальное сотрудничество между агентствами и компаниями по кибербезопасности имеет решающее значение для выявления сложных угроз и реагирования на них. Злоумышленники, подобные APT29, мыслят глобально, поэтому и защитники тоже должны это делать», — сказал он.

«Обмен информацией о новых тактиках позволяет организациям по всему миру улучшить свою защиту и быстро реагировать. Ни одно агентство или компания не обладает полной прозрачностью самостоятельно».