خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

چگونه هکرهای روسی از Google Drive و Dropbox برای فرار از شناسایی استفاده می کنند

ارشیا یوسفی ادیب ۱۷ شهریور, ۱۴۰۱ 4 min read

بیاموزید که چگونه عوامل تهدید از خدمات ابری قانونی سوء استفاده می کنند و چه کاری می توانید در مورد آن انجام دهید.

محیط کار پس از همه گیری تغییرات قابل توجهی در چشم انداز امنیت شبکه ایجاد کرده است. سازمان‌ها برای انجام عملیات روزانه خود بیشتر به راه‌حل‌های ذخیره‌سازی ابری، مانند Google Drive و Dropbox اعتماد کرده‌اند.

خدمات ذخیره سازی ابری یک راه ساده و ایمن برای برآوردن نیازهای نیروی کار از راه دور ارائه می دهد. اما این تنها مشاغل و کارمندان نیستند که از این خدمات استفاده می کنند. هکرها در حال یافتن راه هایی برای افزایش اعتماد به سرویس های ابری هستند و شناسایی حملات خود را بسیار دشوار می کنند.

چگونه اتفاق می افتد؟ بیایید دریابیم!

چگونه هکرها از خدمات ذخیره سازی ابری برای جلوگیری از شناسایی استفاده می کنند؟

اگرچه سرویس‌های ذخیره‌سازی ابری رمزگذاری‌شده معمولاً مورد اعتماد کاربران هستند، تشخیص فعالیت‌های مخرب برای شرکت‌ها می‌تواند بسیار دشوار باشد. در اواسط ژوئیه 2022، محققان در Palo Alto Networks فعالیت های مخربی را کشف کردند که از سرویس های ابری توسط گروهی به نام Cloaked Ursa – که با نام های APT29 و Cozy Bear نیز شناخته می شود، استفاده می کرد.

اعتقاد بر این است که این گروه با دولت روسیه ارتباط دارد و مسئول حملات سایبری علیه کمیته ملی دموکراتیک ایالات متحده (DNC) و هک زنجیره تامین SolarWinds در سال 2020 است. همچنین در چندین کمپین جاسوسی سایبری علیه مقامات دولتی و سفارت‌خانه‌ها در سراسر جهان شرکت دارد.

کمپین بعدی آن شامل استفاده از راه حل های ذخیره سازی ابری قانونی مانند Google Drive و Dropbox برای محافظت از فعالیت های آنها است. در اینجا نحوه انجام این حملات توسط این گروه آمده است.

مطلب مرتبط:   آیا حساب نتفلیکس شما هک شده است؟ کار بعدی چیه

روش عملیاتی حمله

خدمات ابری

این حمله با ایمیل های فیشینگ ارسال شده به اهداف با سابقه در سفارت های اروپایی آغاز می شود. این به عنوان دعوت به ملاقات با سفرا ظاهر می شود و با یک دستور کار فرضی در یک پیوست PDF مخرب ارائه می شود.

پیوست حاوی یک فایل HTML مخرب (EnvyScout) است که در Dropbox میزبانی شده است که تحویل سایر فایل‌های مخرب، از جمله بار Cobalt Strike به دستگاه کاربر را تسهیل می‌کند.

محققان حدس می زنند که گیرنده در ابتدا نمی توانست به فایل در Dropbox دسترسی داشته باشد، احتمالاً به دلیل سیاست های محدودکننده دولت در مورد برنامه های شخص ثالث. با این حال، مهاجمان سریعاً دومین ایمیل فیشینگ نیزه ای را با پیوندی به فایل مخرب HTML ارسال کردند.

هکرها به جای استفاده از دراپ باکس، اکنون به سرویس‌های ذخیره‌سازی گوگل درایو برای مخفی کردن اقدامات خود و تحویل محموله‌ها به محیط هدف متکی هستند. این بار اعتصاب مسدود نشد.

چرا تهدید مسدود نشد؟

به نظر می‌رسد که از آنجایی که بسیاری از محل‌های کار اکنون برای انجام عملیات روزانه خود به برنامه‌های Google از جمله Drive متکی هستند، مسدود کردن این خدمات معمولاً برای بهره‌وری ناکارآمد تلقی می‌شود.

ماهیت فراگیر سرویس‌های ابری و اعتماد مشتریان به آن‌ها، شناسایی این تهدید جدید را بسیار چالش‌برانگیز یا حتی غیرممکن می‌سازد.

هدف از حمله چیست؟

مانند بسیاری از حملات سایبری، به نظر می رسد که قصد استفاده از بدافزار و ایجاد یک درب پشتی بر روی یک شبکه آلوده برای سرقت داده های حساس بوده است.

مطلب مرتبط:   نوع جدید بدافزار Mirai دستگاه های IoT و سرورهای لینوکس را هدف قرار می دهد

واحد 42 در شبکه پالو آلتو به گوگل درایو و دراپ باکس در مورد سوء استفاده از خدمات خود هشدار داده است. گزارش شده است که اقدامات مقتضی علیه حساب های درگیر در فعالیت مخرب انجام شده است.

چگونه در برابر حملات سایبری ابری محافظت کنیم

تصویر امنیت ابری

از آنجایی که اکثر ابزارهای ضد بدافزار و شناسایی بیشتر بر روی فایل های دانلود شده به جای فایل های موجود در فضای ابری تمرکز می کنند، هکرها اکنون برای جلوگیری از شناسایی به سرویس های ذخیره سازی ابری روی آورده اند. اگرچه شناسایی چنین تلاش‌های فیشینگ آسان نیست، اما اقداماتی وجود دارد که می‌توانید برای کاهش خطرات انجام دهید.

  • احراز هویت چند عاملی را برای حساب های خود فعال کنید: حتی اگر اعتبار کاربری به این روش به دست آید، هکر همچنان نیاز به دسترسی به دستگاهی دارد که اعتبارسنجی چند عاملی را نیز انجام می دهد.
  • اعمال امتیاز کمترین اصل: یک حساب کاربری یا دستگاه فقط به دسترسی کافی برای یک مورد خاص نیاز دارد.
  • لغو دسترسی بیش از حد به اطلاعات حساس: هنگامی که به کاربر اجازه دسترسی به یک برنامه داده شد، به یاد داشته باشید که وقتی دیگر به دسترسی نیازی نیست، آن امتیازات را لغو کنید.

غذای کلیدی چیست؟

سرویس‌های ذخیره‌سازی ابری تغییر بزرگی برای سازمان‌ها برای بهینه‌سازی منابع، ساده‌سازی عملیات، صرفه‌جویی در زمان و حذف برخی از مسئولیت‌های امنیتی از صفحه خود بوده است.

اما همانطور که از حملاتی مانند این مشخص است، هکرها شروع به استفاده از زیرساخت های ابری برای ساخت حملاتی کرده اند که تشخیص آنها سخت تر است. فایل مخرب ممکن است در Microsoft OneDrive، Amazon AWS یا هر سرویس ذخیره سازی ابری دیگری میزبانی شده باشد.

مطلب مرتبط:   چرا باید مراقب کریپتو در رسانه های اجتماعی باشید؟

درک این بردار تهدید جدید مهم است، اما بخش سخت آن قرار دادن کنترل‌هایی برای شناسایی و پاسخ به آن است. و به نظر می رسد که حتی بازیگران مسلط در فناوری نیز با آن دست و پنجه نرم می کنند.

Tags: