L'ambiente di lavoro post-pandemia ha apportato cambiamenti significativi al panorama della sicurezza della rete. Le organizzazioni hanno iniziato a fare più affidamento sulle soluzioni di archiviazione cloud, come Google Drive e Dropbox, per svolgere le loro operazioni quotidiane.
I servizi di archiviazione cloud forniscono un modo semplice e sicuro per soddisfare le esigenze di una forza lavoro remota. Ma non sono solo le aziende e i dipendenti a usufruire di questi servizi. Gli hacker stanno trovando modi per sfruttare la fiducia nei servizi cloud e rendere i loro attacchi estremamente difficili da rilevare.
Come succede? Scopriamolo!
In che modo gli hacker utilizzano i servizi di archiviazione cloud per evitare il rilevamento?
Sebbene i servizi di archiviazione cloud crittografati siano generalmente considerati affidabili dagli utenti, può essere estremamente difficile per le aziende rilevare attività dannose. A metà luglio 2022, i ricercatori del Reti di Palo Alto ha scoperto attività dannose che sfruttano i servizi cloud da parte di un gruppo chiamato Cloaked Ursa, noto anche come APT29 e Cozy Bear.
Si ritiene che il gruppo abbia collegamenti con il governo russo ed è responsabile degli attacchi informatici contro il Comitato nazionale democratico degli Stati Uniti (DNC) e il 2020 Hacking della catena di approvvigionamento di SolarWinds. È anche coinvolto in diverse campagne di spionaggio informatico contro funzionari governativi e ambasciate in tutto il mondo.
La sua prossima campagna prevede l'utilizzo di soluzioni di archiviazione cloud legittime come Google Drive e Dropbox per proteggere le loro attività. Ecco come il gruppo conduce questi attacchi.
Il Modus Operandi dell'Attacco
L'attacco inizia con e-mail di phishing inviate a obiettivi di alto profilo presso le ambasciate europee. Si maschera da invito a riunioni con ambasciatori e viene fornito con una presunta agenda in un allegato PDF dannoso.
L'allegato contiene un file HTML dannoso (Invidia Scout) ospitato in Dropbox che faciliterebbe la consegna di altri file dannosi, incluso un payload Cobalt Strike al dispositivo dell'utente.
I ricercatori ipotizzano che inizialmente il destinatario non potesse accedere al file in Dropbox, probabilmente a causa di politiche governative restrittive sulle applicazioni di terze parti. Tuttavia, gli attaccanti si sono affrettati a mandare una seconda e-mail di spear phishing con un collegamento al file HTML dannoso.
Invece di utilizzare Dropbox, gli hacker ora si affidano ai servizi di archiviazione di Google Drive per nascondere le loro azioni e fornire i carichi utili all'ambiente di destinazione. Questa volta lo sciopero non è stato bloccato.
Perché la minaccia non è stata bloccata?
Sembra che dal momento che molti luoghi di lavoro ora si affidano alle applicazioni Google, incluso Drive, a condurre le loro operazioni quotidiane, il blocco di questi servizi è generalmente considerato inefficiente produttività.
La natura onnipresente dei servizi cloud e la fiducia dei clienti in essi rendono questa nuova minaccia estremamente difficile o addirittura impossibile da rilevare.
Qual è lo scopo dell'attacco?
Come molti attacchi informatici, sembra che l'intenzione fosse quella di utilizzare malware e creare una backdoor su una rete infetta per rubare dati sensibili.
L'unità 42 del Palo Alto Network ha avvisato sia Google Drive che Dropbox dell'abuso dei loro servizi. È stato segnalato che è stata intrapresa un'azione appropriata contro gli account coinvolti nell'attività dannosa.
Come proteggersi dagli attacchi informatici cloud
Poiché la maggior parte degli strumenti antimalware e di rilevamento si concentra maggiormente sui file scaricati anziché sui file nel cloud, gli hacker ora si rivolgono ai servizi di archiviazione cloud per evitare il rilevamento. Sebbene tali tentativi di phishing non siano facili da rilevare, ci sono passaggi che puoi adottare per mitigare i rischi.
- Abilita l'autenticazione a più fattori per i tuoi account: Anche se le credenziali dell'utente vengono ottenute in questo modo, l'hacker richiede comunque l'accesso al dispositivo che esegue anche la convalida a più fattori.
- Applicare il Privilegio di minimo principio: Un account utente o un dispositivo richiede solo l'accesso sufficiente per un caso specifico.
- Revocare l'accesso eccessivo alle informazioni sensibili: Una volta che a un utente viene concesso l'accesso a un'applicazione, ricordarsi di revocare quei privilegi quando l'accesso non è più necessario.
Qual è la chiave da asporto?
I servizi di archiviazione cloud sono stati un enorme punto di svolta per le organizzazioni per ottimizzare le risorse, semplificare le operazioni, risparmiare tempo e togliere alcune responsabilità di sicurezza dal piatto.
Ma come risulta chiaro da attacchi come questi, gli hacker hanno iniziato a sfruttare l'infrastruttura cloud per creare attacchi più difficili da rilevare. Il file dannoso potrebbe essere stato ospitato in Microsoft OneDrive, Amazon AWS o qualsiasi altro servizio di archiviazione cloud.
Comprendere questo nuovo vettore di minaccia è importante, ma la parte difficile è mettere in atto controlli per rilevarlo e rispondere ad esso. E sembra che anche gli attori dominanti nella tecnologia stiano lottando con esso.
