Rus devletiyle bağlantısı olan tehdit aktörleri, daha fazla kuruluşun bulut tabanlı altyapıya geçmesiyle birlikte taktiklerini değiştiriyor; ancak iyi haber şu ki, temel siber azaltma stratejileri, Birleşik Krallık Ulusal Siber Güvenlik Merkezi (BK Ulusal Siber Güvenlik Merkezi) gibi karmaşık hükümet korsanlarına karşı bile hala oldukça etkili. NCSC) söyledi.
Avustralya, Kanada, Yeni Zelanda ve ABD’deki müttefik Five Eyes ajanslarıyla ortaklaşa yayınlanan bir tavsiye belgesinde NCSC, özellikle APT29 olarak adlandırılan ve yaygın olarak Rahat Ayı ve diğer adıyla bilinen gelişmiş kalıcı tehdit (APT) grubuna odaklandı. Midnight Blizzard gibi isimler.
Rahat Ayı, her ikisi de Sovyetler Birliği’nin KGB’sinin halefi olan Moskova Federal Güvenlik Servisi (FSB) ve onun Dış İstihbarat Servisi (SVR) ile çeşitli zamanlarda bağlantılı bir birimdir. Rahat Ayı, en çok SolarWinds Sunburst/Solorigate olayıyla ve Demokratik Ulusal Komite’nin 2016’daki hacklenmesiyle bağlantılıdır.
NCSC operasyon direktörü Paul Chichester, “Sürekli olarak Birleşik Krallık’ı hedef alan grupların davranışlarındaki değişikliklere ilişkin farkındalık yaratmayı da içeren kötü niyetli siber faaliyetleri ortaya çıkarma konusundaki kararlılığımızda kararlıyız” dedi.
“NCSC, kuruluşları, ağlarını korumaya yardımcı olmak için danışma belgesindeki istihbarat ve hafifletme tavsiyelerine aşina olmaya çağırıyor.”
NCSC, düşünce kuruluşları, devlet kurumları ve eğitim ve sağlık sektörlerindeki kuruluşlar gibi Cosy Bear’ın hedef aldığı sektörlerin çoğunun, özellikle Kovid-19’un ardından bulut tabanlı altyapıya geçtiğini söyledi. yazılım ürünlerindeki yaygın güvenlik açıklarından ve risklerden (CVE’ler) yararlanmak gibi geleneksel erişim araçları biraz daha sınırlı hale geldi.
Bunun yerine, Rus tehdit aktörlerinin kurban hesaplarını tehlikeye atmak için sistem tarafından verilen erişim tokenlarını çalmak, ele geçirilen kimlik bilgilerini yeniden kullanarak kurbanın bulut ortamına yeni cihazlar kaydetmek ve şifre püskürtme ve kaba kuvvet saldırılarıyla sistem hesaplarını hedef almak gibi yeni teknikleri benimsediğini gözlemledi. .
Bu tür yöntemler, zayıf parola yönetimi politikaları ve çok faktörlü kimlik doğrulamanın (MFA) bulunmaması sayesinde genellikle kurbanlar tarafından başarıyla etkinleştiriliyor.
NCSC, ilk erişimi elde eden tehdit aktörünün, Microsoft’un tehdit araştırma ekipleri tarafından ilk kez 2022’de belgelenen bir teknik olan MagicWeb gibi son derece gelişmiş uzlaşma sonrası yetenekleri kullandığını, dolayısıyla risk altındaki kuruluşların ilk erişime özellikle dikkat etmeleri gerektiğini söyledi. yöntemler.
Bu nedenle, savunucular, eğer halihazırda benimsenmemişse, aşağıdaki azaltımlardan bazılarını iyi bir başlangıç noktası olarak görebilirler:
- Parola ihlallerinin etkisini azaltmak için MFA’yı hemen uygulayın;
- MFA korumalı hesaplarda güçlü, benzersiz parolalar uygulayın ve birleştiricileri, taşıyıcıları ve ayrılanları yönetmek için uygun bir politika uygulayarak gerekmediğinde bunları devre dışı bırakın;
- Önemli BT kaynaklarına erişimi kontrol etmek için en az ayrıcalık (POLP) ilkelerini benimseyin;
- Geçerli gibi görünen ancak hiçbir zaman kullanılmayan ‘kanarya’ hizmet hesapları oluşturun ve bir tehdit aktörünün ortamınıza erişmiş olabileceğine dair işaretleri tespit etmek için bu hesaplara izleme ve uyarı uygulayın;
- Bir tehdit aktörünün çalınan oturum belirteçlerini kötüye kullanma olasılığını en aza indirmek için oturum yaşam süreleri üzerinde katı zaman sınırları uygulayın; bu politikayı, meşru kullanıcıları çok fazla yormayan uygun bir kimlik doğrulama yöntemiyle eşleştirdiğinizden emin olun;
- Cihaz kayıt politikalarını, mümkün olduğunda sıfır temasla kayıt veya kendi kendine kaydın kullanılması gereken güçlü bir MFA biçimi kullanarak yalnızca yetkili cihazlara izin verecek şekilde yapılandırın.
- Tuhaflıkları önlemek, tespit etmek ve araştırmak için uygulama olayları ve ana bilgisayar tabanlı günlükler gibi daha geniş bir bilgi kaynağı yelpazesi kullanmayı düşünün; daha iyi yanlış pozitif oranına sahip olan risk kaynaklarına ve göstergelerine (IoC’ler) özellikle dikkat edin.