Pandemi sonrası işyeri ortamı, ağ güvenliği ortamında önemli değişiklikler getirdi. Kuruluşlar, günlük işlemlerini gerçekleştirmek için Google Drive ve Dropbox gibi bulut depolama çözümlerine daha fazla güvenmeye başladı.
Bulut depolama hizmetleri, uzak bir iş gücünün ihtiyaçlarını karşılamanın basit ve güvenli bir yolunu sunar. Ancak bu hizmetlerden yararlananlar yalnızca işletmeler ve çalışanlar değildir. Bilgisayar korsanları, bulut hizmetlerine duyulan güvenden yararlanmanın ve saldırılarının tespit edilmesini son derece zor hale getirmenin yollarını buluyor.
Nasıl olur? Hadi bulalım!
Bilgisayar Korsanları Algılanmayı Önlemek için Bulut Depolama Hizmetlerini Nasıl Kullanıyor?
Şifreli bulut depolama hizmetlerine genellikle kullanıcılar tarafından güvenilse de, şirketlerin kötü niyetli faaliyetleri tespit etmesi son derece zor olabilir. Temmuz 2022'nin ortalarında, araştırmacılar Palo Alto Ağları APT29 ve Cozy Bear olarak da bilinen Cloaked Ursa adlı bir grup tarafından bulut hizmetlerinden yararlanan kötü amaçlı etkinlik keşfetti.
Grubun Rus hükümetiyle bağlantıları olduğuna inanılıyor ve ABD Demokratik Ulusal Komitesi'ne (DNC) ve 2020'ye yönelik siber saldırılardan sorumlu. SolarWinds tedarik zinciri hilesi. Ayrıca dünya çapında hükümet yetkililerine ve büyükelçiliklere karşı çeşitli siber casusluk kampanyalarında yer alıyor.
Bir sonraki kampanyası, etkinliklerini korumak için Google Drive ve Dropbox gibi meşru bulut depolama çözümlerini kullanmayı içeriyor. İşte grubun bu saldırıları nasıl gerçekleştirdiği.
Saldırının Modus Operandi'si
Saldırı, Avrupa büyükelçiliklerindeki yüksek profilli hedeflere gönderilen kimlik avı e-postalarıyla başlıyor. Büyükelçilerle yapılan toplantılara davet ediyormuş gibi görünür ve kötü niyetli bir PDF ekinde sözde bir gündemle birlikte gelir.
Ek, kötü amaçlı bir HTML dosyası içeriyor (Kıskançlıkİzci) kullanıcının cihazına bir Kobalt Strike yükü de dahil olmak üzere diğer kötü amaçlı dosyaların teslimini kolaylaştıracak Dropbox'ta barındırılır.
Araştırmacılar, muhtemelen üçüncü taraf uygulamalardaki kısıtlayıcı hükümet politikaları nedeniyle alıcının Dropbox'taki dosyaya başlangıçta erişemediğini tahmin ediyor. Ancak, saldırganlar göndermek için hızlıydı ikinci bir mızrak kimlik avı e-postası kötü amaçlı HTML dosyasına bir bağlantı ile.
Bilgisayar korsanları artık Dropbox'ı kullanmak yerine, eylemlerini gizlemek ve yükleri hedef ortama ulaştırmak için Google Drive depolama hizmetlerine güveniyor. Bu sefer grev engellenmedi.
Tehdit neden engellenmedi?
Görünen o ki, birçok iş yeri artık Drive dahil olmak üzere Google uygulamalarına güvenmektedir. günlük operasyonlarını yürütürlerse, bu hizmetleri engellemek genellikle verimsiz olarak görülür. üretkenlik.
Bulut hizmetlerinin her yerde bulunan doğası ve müşterilerin bunlara olan güveni, bu yeni tehdidi tespit etmeyi son derece zor hatta imkansız hale getiriyor.
Saldırının Amacı Ne?
Birçok siber saldırı gibi, niyetin kötü amaçlı yazılım kullanmak ve hassas verileri çalmak için virüslü bir ağ üzerinde bir arka kapı oluşturmak olduğu anlaşılıyor.
Palo Alto Ağındaki Ünite 42, hem Google Drive'ı hem de Dropbox'ı hizmetlerinin kötüye kullanılması konusunda uyardı. Kötü niyetli faaliyete karışan hesaplara karşı gerekli işlemin yapıldığı bildirildi.
Bulut Siber Saldırılarına Karşı Nasıl Korunulur
Çoğu kötü amaçlı yazılımdan koruma ve algılama aracı, buluttaki dosyalar yerine indirilen dosyalara daha fazla odaklandığından, bilgisayar korsanları artık algılamayı önlemek için bulut depolama hizmetlerine yöneliyor. Bu tür kimlik avı girişimlerini tespit etmek kolay olmasa da, riskleri azaltmak için atabileceğiniz adımlar vardır.
- Hesaplarınız için çok faktörlü kimlik doğrulamayı etkinleştirin: Kullanıcı kimlik bilgileri bu şekilde elde edilse bile, bilgisayar korsanının yine de çok faktörlü doğrulamayı gerçekleştiren cihaza erişmesi gerekir.
- Uygulamak En Az İlkenin Ayrıcalığı: Bir kullanıcı hesabı veya cihazı, yalnızca belirli bir durum için gerekli olan yeterli erişime ihtiyaç duyar.
- Hassas bilgilere aşırı erişimi iptal edin: Bir kullanıcıya bir uygulamaya erişim izni verildiğinde, erişime artık ihtiyaç duyulmadığında bu ayrıcalıkları iptal etmeyi unutmayın.
Anahtar Paket Nedir?
Bulut depolama hizmetleri, kuruluşların kaynakları optimize etmesi, operasyonları düzene sokması, zamandan tasarruf etmesi ve bazı güvenlik sorumluluklarını ortadan kaldırması için büyük bir oyun değiştirici olmuştur.
Ancak bunun gibi saldırılardan da anlaşılacağı gibi, bilgisayar korsanları, tespit edilmesi daha zor saldırılar oluşturmak için bulut altyapısından yararlanmaya başladılar. Kötü amaçlı dosya Microsoft OneDrive, Amazon AWS veya başka herhangi bir bulut depolama hizmetinde barındırılmış olabilir.
Bu yeni tehdit vektörünü anlamak önemlidir, ancak zor kısım, onu tespit etmek ve yanıt vermek için kontrolleri devreye sokmaktır. Görünüşe göre teknolojideki baskın oyuncular bile bununla mücadele ediyor.