Beş Göz istihbarat ittifakı üyeleri, Rus tehdit aktörleri APT29’un bulut ortamlarına erişim sağlayacak şekilde tekniklerini değiştirdiği ve hedeflerini genişlettiği konusunda uyardı.
APT29 Hakkında
APT29 (aka Midnight Blizzard, namı diğer Cozy Bear), SolarWinds yazılımının tedarik zinciri ihlali sonrasında birçok ABD hükümet kurumuna sızmasıyla bilinen Rus Dış İstihbarat Servisi’nin (SVR) bir parçası olduğuna inanılan bir siber casusluk grubudur.
Microsoft da aynı ihlalin kurbanı oldu ve yakın zamanda aynı tehdit aktörleri kurumsal posta kutularına girerek e-postaları ve ekteki belgeleri çaldı.
APT29’un hükümetleri, düşünce kuruluşlarını, sağlık kuruluşlarını ve enerji sektörünü hedef almasıyla biliniyordu ancak artık hedeflerini havacılık, eğitim, kolluk kuvvetleri, yerel ve eyalet konseyleri, hükümetin mali departmanları ve askeri kuruluşları kapsayacak şekilde genişletti.
APT29 yeni tekniklerden yararlanıyor
Beş Göz ajansı, ortak bir danışma belgesinde grubun taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) de uyarladığı konusunda uyardı.
Tehdit aktörleri, ilk erişimi elde etmek için yazılımdaki güvenlik açıklarından yararlanmak yerine, hizmet hesaplarına ve kurban kuruluşların eski çalışanlarına ait hesaplara erişmek için artık kaba zorlama ve parola püskürtme yöntemlerini kullanıyor.
“Arkalarında hiçbir insan kullanıcı bulunmadığından çok faktörlü kimlik doğrulama (MFA) ile kolayca korunamıyorlar, bu da bu hesapların başarılı bir şekilde ele geçirilmesine karşı daha duyarlı hale geliyor. Hizmet hesapları, yönetmekten sorumlu oldukları uygulama ve hizmetlere bağlı olarak genellikle yüksek ayrıcalıklara sahiptir. Bu hesaplara erişim kazanmak, tehdit aktörlerine daha fazla operasyon başlatmak için bir ağa ayrıcalıklı ilk erişim olanağı sağlıyor.” dedi.
APT29 ayrıca kurbanların hesaplarına erişmek için şifreler yerine çalıntı jetonlar kullanıyor ve MFA bombalamasına katılarak ve bunun sonucunda ortaya çıkan MFA yorgunluğundan yararlanarak çok faktörlü kimlik doğrulamayı (MFA) atlatmayı başardı.
“Bir aktör bulut ortamına erişim sağlamak için bu sistemleri atladığında, SVR aktörlerinin kendi cihazlarını bulut kiracısında yeni bir cihaz olarak kaydettikleri gözlemlendi. Cihaz doğrulama kuralları kurulmazsa, SVR aktörleri kendi cihazlarını başarıyla kaydedebilir ve ağa erişim sağlayabilirler” diye uyardı CISA.
Son olarak, tehdit aktörleri ağdaki faaliyetlerini ve ağ trafiğinin gerçek kaynağını gizlemek için yerleşik proxy’ler kullandı.
Ajans, “SVR ilk erişimi elde ettiğinde, aktör MagicWeb gibi son derece karmaşık uzlaşma sonrası yetenekleri kullanma kapasitesine sahip olur” sonucuna vardı.
Bulutu korumak
Ajanslar, kuruluşları bu tehdit aktörlerine karşı korumaya yardımcı olacak çeşitli en iyi uygulamaları özetledi:
- Çok faktörlü kimlik doğrulamayı (MFA) etkinleştirin
- Özellikle 2 adımlı doğrulamayı (2SV) kullanamayan hesaplar için güçlü ve benzersiz şifreler kullanın
- Sistem ve hizmet hesapları için en az ayrıcalık ilkesini uygulayın
- Daha hızlı güvenlik ihlali tespiti için canary hizmet hesapları oluşturun
- Sistem tarafından verilen belirteçlerin geçerlilik süresini ayarlayın
- Yalnızca yetkili cihazlar için cihaz kaydına izin ver
- Çeşitli bilgi kaynaklarını kullanın olağandışı davranışları önleyin, tespit edin ve araştırın