Организации по целия свят използват облачни услуги за извършване на ежедневни дейности, особено след преминаването към хибриден модел на работа. Облачните приложения предоставят прости средства за работа, независимо къде се намира потребителят – нещо, което стана жизненоважно за отдалечено работещите. Но не само фирмите и служителите могат да се възползват от облачните услуги – хакерите също.
Според изследователи по киберсигурността от Unit 42 на Palo Alto Networks, точно това правят хакерите, работещи от името на група за усъвършенствани постоянни заплахи (APT), която наричат Cloaked Ursa. Сега те се опитват да използват легитимни облачни услуги, включително Google Drive и Dropbox, в своите нападения. Вече са приложили подобна тактика като част от атаки, извършени между май и юни тази година.
Нападенията започват с фишинг имейли, например изпращани до адресати в европейските посолства. Писмата се представят като покани за срещи с посланици. Има и предполагаем дневен ред, прикачен като PDF.
PDF файлът е „ключът“ към успеха на атаката. Той извиква акаунт в Dropbox, управляван от нападателите, за да достави на устройството на жертвата „Cobalt Strike“ – инструмент за тестване с проникване (пентестинг), популярен сред злонамерените нападатели.
Подобна първоначална тактика по-рано тази година се оказала неуспешна – нещо, за което изследователите предполагат, че се дължи на ограничителните политики в корпоративните мрежи относно използването на услуги на трети страни.
Но нападателите се адаптирали. Новият им подход включва изпращане на фишинг имейли, използвайки комуникация с акаунти в Google Drive, за да скрият действията си и да внедрят „Cobalt Strike“ и други видове злонамерен софтуер. Много работни места използват приложения на Google като част от ежедневните си дейности и Drive не е блокиран, така че схемата е ефективна.
„Нападателите ще продължат да действат изобретателно и да намират начини да избегнат засичането, за да постигнат целите си. Атакуването чрез Google Drive и Dropbox е евтин начин за използване на надеждни приложения“, каза изследовател от Unit 42.
„Простичко казано това означава, че можете лесно да получите X на брой акаунти в Google безплатно и да ги използвате за събиране на информация и поддържане на злонамерен софтуер“, пояснява специалистът.
Подобно на много кампании от този характер, вероятно намерението на нападателите е било да използват злонамерен софтуер, за да създадат „задна вратичка“ в някоя мрежа, през която да откраднат чувствителна информация или пък да я използват за по-нататъшни атаки.
Unit 42 не уточнява дали кампаниите успешно са проникнали в целевите мрежи или не. Домакините на легитимните услуги, използвани злонамерено, са предупредени и са предприели действия срещу профилите, от които се извършват част от атаките.
„Групата за анализ на заплахи на Google проследява отблизо дейността на APT29 и редовно обменя информация с други екипи за разузнаване на заплахи… В този случай бяхме наясно с дейността, идентифицирана в доклада, и проактивно предприехме стъпки за защита на всички потенциални цели“, уверява Шейн Хънтли, старши директор на Групата за анализ на заплахите в Google.
„Можем да потвърдим, че работихме с нашите индустриални партньори и изследователите по този въпрос и незабавно деактивирахме потребителски акаунти. Ако открием потребител, който нарушава нашите условия за ползване, предприемаме съответните действия, които могат да включват спиране или деактивиране на потребителски профили“, заяви говорител на Dropbox.
Използването на клауд услуги осигурява много предимства както за бизнеса, така и за персонала – но е важно да се гарантира, че сигурността на облачните приложения и услуги се управлява правилно, за да се предотврати използването на тези инструменти от киберпрестъпници.