Beş Göz (FVEY) istihbarat ittifakının üyeleri bugün, APT29 olarak takip edilen Rus Dış İstihbarat Servisi (SVR) bilgisayar korsanlarının artık kurbanlarının bulut hizmetlerini giderek daha fazla hedeflediği konusunda uyardı.
APT29, üç yıldan fazla bir süre önce düzenledikleri SolarWinds tedarik zinciri saldırısının ardından birçok ABD federal kurumunu ihlal etti.
Rus siber casusları ayrıca dış politikayla ilgili verileri elde etmek için NATO ülkelerindeki çeşitli kuruluşlara ait Microsoft 365 hesaplarını ele geçirdi ve bir dizi kimlik avı saldırısıyla bağlantılı olarak Avrupa çapındaki hükümetleri, elçilikleri ve üst düzey yetkilileri hedef aldı.
Daha yakın bir zamanda Microsoft, Ocak ayında Rus Dış İstihbarat Servisi hack grubunun Kasım 2023’te yöneticilerinin ve diğer kuruluşlardaki kullanıcıların Exchange Online hesaplarını ihlal ettiğini doğruladı.
Bulut hizmetleri saldırı altında
Bugün, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), NSA, CISA, FBI ve Avustralya, Kanada ve Yeni Zelanda’daki siber güvenlik kurumları tarafından yayınlanan ortak bir bildiride, Rus tehdit grubunun yavaş yavaş bulut altyapısına yönelik saldırılara yöneldiği konusunda uyarıda bulunuldu. .
Tavsiye metninde “Kuruluşlar sistemlerini modernleştirmeye ve bulut tabanlı altyapıya geçmeye devam ettikçe SVR, işletim ortamındaki bu değişikliklere uyum sağladı” ifadesi yer alıyor.
“Şirket içi ağdaki yazılım açıklarından yararlanmak gibi geleneksel ilk erişim yöntemlerinin ötesine geçmeleri ve bunun yerine bulut hizmetlerini kendilerini hedeflemeleri gerekiyor.”
Five Eyes ajanslarının tespit ettiği gibi, APT29 bilgisayar korsanları artık kaba zorlama veya parola püskürtme saldırılarıyla ele geçirilen erişim hizmeti hesap kimlik bilgilerini kullanarak hedeflerinin bulut ortamlarına erişim sağlıyor.
Ek olarak, kullanıcılar hedeflenen kuruluşlardan ayrıldıktan sonra hiç kaldırılmayan atıl hesapları kullanıyorlar ve sistem genelinde parola sıfırlama sonrasında yeniden erişim kazanmalarına olanak tanıyorlar.
APT29’un ilk bulut ihlali vektörleri aynı zamanda, kimlik bilgileri kullanmadan hesapları ele geçirmelerine olanak tanıyan çalıntı erişim belirteçlerinin kullanımını, kötü amaçlı etkinliklerin proxy’si için güvenliği ihlal edilmiş yerleşik yönlendiricileri, çok faktörlü kimlik doğrulamayı (MFA) atlamak için MFA yorgunluğunu ve kendi cihazlarını şu şekilde kaydetmeyi içerir: Kurbanların bulut kiracılarındaki yeni cihazlar
İlk erişimi elde ettikten sonra, SVR bilgisayar korsanları, kurbanların ağlarında, özellikle de Avrupa, Amerika Birleşik Devletleri ve Asya’yı kapsayan hükümet ve kritik kuruluşlarda tespit edilmekten kaçınmak için MagicWeb kötü amaçlı yazılımı gibi (güvenliği ihlal edilmiş bir ağdaki herhangi bir kullanıcı olarak kimlik doğrulamalarına olanak tanıyan) karmaşık araçlar kullanır. .
SVR bulut saldırıları nasıl tespit edilir
Bu nedenle, APT29’un ilk erişim vektörlerinin azaltılması, saldırılarını engellemeye çalışırken ağ savunucuları için listenin başında yer almalıdır.
Ağ savunucularına, güçlü parolalarla birlikte MFA’yı mümkün olan her yerde ve her zaman etkinleştirmeleri, tüm sistem ve hizmet hesapları için en az ayrıcalık ilkesini kullanmaları, uzlaşmayı daha hızlı tespit etmek için kanarya hizmet hesapları oluşturmaları ve kullanımı engellemek için oturum ömürlerini kısaltmaları önerilir. çalınan oturum jetonları.
Ayrıca yalnızca yetkili cihazlar için cihaz kaydına izin vermeli ve güvenlik ihlallerini izlerken en az miktarda yanlış pozitif sonuç verecek güvenlik ihlali göstergelerini izlemelidirler.
Five Eyes müttefikleri, “Bulut altyapısına geçen kuruluşlar için, SVR gibi bir aktöre karşı ilk savunma hattı, ilk erişim için SVR’nin TTP’lerine karşı koruma sağlamak olmalıdır” dedi.
“Kuruluşlar, bu danışma belgesinde belirtilen hafifletici önlemleri takip ederek bu tehdide karşı savunma konusunda daha güçlü bir konumda olacaklar.”