Легитимни облачни услуги за ежедневна работа като Google Drive и

...
Коментари Харесай

Хакерите се прикриват в облачни услуги за съхранение


Легитимни облачни услуги за ежедневна работа като Гугъл Drive и Dropbox са употребявани от хакери за прикриване на хакерски атаки (снимка: CC0 Public Domain)

Организации по целия свят употребяват облачни услуги за осъществяване на ежедневни действия, изключително след прекосяването към хибриден модел на работа. Облачните приложения дават елементарни средства за работа, без значение къде се намира потребителят – нещо, което стана жизненоважно за отдалечено работещите. Но освен компаниите и чиновниците могат да се възползват от облачните услуги – хакерите също.

Според откриватели по киберсигурността от Unit 42 на Palo Alto Networks, тъкмо това вършат хакерите, работещи от името на група за усъвършенствани непрекъснати закани (APT), която назовават Cloaked Ursa. Сега те се пробват да употребяват законни облачни услуги, в това число Гугъл Drive и Dropbox, в своите набези. Вече са приложили сходна тактичност като част от офанзиви, осъществени сред май и юни тази година.

Нападенията стартират с фишинг имейли, да вземем за пример изпращани до получатели в европейските посолства. Писмата се показват като предложения за срещи с посланици. Има и хипотетичен дневен ред, прикачен като PDF.

PDF файлът е „ ключът “ към триумфа на офанзивата. Той извиква акаунт в Dropbox, ръководен от нападателите, с цел да достави на устройството на жертвата „ Cobalt Strike “ – инструмент за тестване с навлизане (пентестинг), известен измежду злонамерените нападатели.
още по темата
Подобна първична тактичност по-рано тази година се оказала несполучлива – нещо, за което откривателите допускат, че се дължи на ограничаващите политики в корпоративните мрежи по отношение на потреблението на услуги на трети страни.

Но нападателите се приспособили. Новият им метод включва изпращане на фишинг имейли, употребявайки връзка с сметки в Гугъл Drive, с цел да скрият дейностите си и да внедрят „ Cobalt Strike “ и други типове злоумишлен програмен продукт. Много работни места употребяват приложения на Гугъл като част от ежедневните си действия и Drive не е блокиран, тъй че схемата е ефикасна.

„ Нападателите ще продължат да работят остроумно и да намират способи да избегнат засичането, с цел да реализиран задачите си. Атакуването посредством Гугъл Drive и Dropbox е на ниска цена метод за потребление на надеждни приложения “, сподели откривател от Unit 42.

„ Простичко казано това значи, че можете елементарно да получите X на брой сметки в Гугъл гратис и да ги употребявате за събиране на информация и поддържане на злоумишлен програмен продукт “, разяснява експертът.

Подобно на доста акции от този темперамент, евентуално желанието на нападателите е било да употребяват злоумишлен програмен продукт, с цел да основат „ задна малка врата “ в някоя мрежа, през която да откраднат сензитивна информация или пък да я употребяват за по-нататъшни офанзиви.

Unit 42 не прецизира дали акциите сполучливо са проникнали в целевите мрежи или не. Домакините на законните услуги, употребявани злонамерено, са предизвестени и са подхванали дейности против профилите, от които се правят част от офанзивите.

„ Групата за разбор на закани на Гугъл наблюдава от близко активността на APT29 и постоянно обменя информация с други екипи за разузнаване на заплахи… В този случай бяхме наясно с активността, разпозната в отчета, и самодейно предприехме стъпки за отбрана на всички евентуални цели “, уверява  Шейн Хънтли, старши шеф на Групата за разбор на заканите в Гугъл.

„ Можем да потвърдим, че работихме с нашите индустриални сътрудници и откривателите по този въпрос и неотложно деактивирахме потребителски сметки. Ако открием консуматор, който нарушава нашите условия за прилагане, подхващаме съответните дейности, които могат да включват прекъсване или деактивиране на потребителски профили “, съобщи представител на Dropbox.

Използването на клауд услуги обезпечава доста преимущества както за бизнеса, по този начин и за личния състав – само че е значимо да се подсигурява, че сигурността на облачните приложения и услуги се ръководи вярно, с цел да се предотврати потреблението на тези принадлежности от киберпрестъпници.
Източник: technews.bg


СПОДЕЛИ СТАТИЯТА


КОМЕНТАРИ
НАПИШИ КОМЕНТАР