"Midnight Blizzard," trusselsgruppen tilknyttet russiske efterretningstjenester (SVR) og enheden bag angrebene på SolarWinds og organisationer som Microsoft og HPE, udnytter automatiserede cloud-tjenester-konti og sovende konti til at få adgang til skymiljøer hos målorganisationer.
Angrebene markerer et markant skift i taktik for trusselsaktøren (også kendt som APT29, Cozy Bear og Dukes), da den tilpasser sig den voksende anvendelse af cloud-tjenester i organisationer i sektorer, som den traditionelt har målrettet mod.
Et væsentligt skift
I en rådgivende mandag, Storbritanniens National Cyber Security Center (NCSC), i samarbejde med US Cybersecurity and Infrastructure Security Agency (CISA) og deres kolleger i andre lande, advarede om skiftet i Midnight Blizzards taktik og behovet for organisationer for at forhindre trusselsaktøren i at få indledende adgang til deres skymiljøer.
"For organisationer, der har flyttet til cloud-infrastruktur, bør en første forsvarslinje mod en aktør som SVR være at beskytte mod SVR's TTP'er for indledende adgang," bemærkede rådgiveren, mens den anbefalede afhjælpning af truslen.
USA og andre har knyttet Midnight Blizzard med en høj grad af tillid til Ruslands SVR, en trusselsaktør, der har været aktiv siden mindst 2009. Oprindeligt fik gruppen opmærksomhed for sine efterretningsindsamlingsangreb mod statslige agenturer, tænketanke og organisationer inden for sundhed og energi. I de seneste år, og især siden dets SolarWinds-angreb, har Midnight Blizzard rettet sig mod adskillige andre organisationer, herunder dem i softwareforsyningskæden, sundhedsforskning, retshåndhævelse, luftfart og militærindustri. For nylig Microsoft og HPE gav trusselsaktøren skylden for at bryde ind i deres respektive firma-e-mail-miljøer og få adgang til e-mails, der tilhører ledende ledere og nøglepersoner.
I mange af sine tidligere angreb har Midnight Blizzard udnyttet softwaresårbarheder og andre netværkssvagheder for at få indledende adgang til en målorganisations it-infrastruktur på stedet. Men med mange af sine mål, der skifter til cloud-native og cloud-hostede miljøer, er trusselsaktøren blevet tvunget til også at pivotere og målrette mod cloud-tjenester. "For at få adgang til størstedelen af ofrenes cloud-hostede netværk, skal aktører først autentificere til cloud-udbyderen," sagde NCSC.
Målretningsservice og hvilende konti
En almindelig taktik, som Midnight Blizzard har brugt for at nå dette mål, er at bruge brute-force gætte- og adgangskodesprayangreb for at få adgang til skytjenestekonti. Disse er typisk automatiserede, ikke-menneskelige konti til administration af cloud-applikationer og -tjenester. Sådanne konti kan ikke let beskyttes via to-faktor-autentificeringsmekanismer og er derfor mere modtagelige for et vellykket kompromis og overtagelse, sagde NCSC.
Men der er et andet problem, der gør trusselsaktørens overtagelse af disse konti særligt problematisk. "At få adgang til disse konti giver trusselsaktører privilegeret indledende adgang til et netværk for at starte yderligere operationer," advarede NCSC. I mange af disse angreb brugte trusselsaktørerne legitime bolig-IP-adresser til at starte deres spray-angreb med adgangskode, hvilket gjorde det svært for forsvarere at få øje på aktiviteten for, hvad den var.
En anden taktik, som Midnight Blizzard har brugt til at få indledende adgang til et målskymiljø, er at udnytte sovende konti, der tilhører brugere, som måske ikke længere arbejder i en offerorganisation, men hvis konto muligvis forbliver på systemet, bemærkede rådgiveren. Nogle gange har trusselsaktøren genvundet adgang til et netværk, hvorfra den muligvis er blevet startet ud ved at logge ind på inaktive konti og følge instruktionerne for at nulstille adgangskoden.
Misbrug af godkendelsestokens
Andre taktikker, som Midnight Blizzard har brugt til indledende skyadgang, inkluderer brugen ulovligt opnåede OAuth-tokens at få adgang til offerkonti — og vedligeholde persistens — uden at kræve en adgangskode, samt bruge såkaldte MFA bombning eller MFA-træthed angreb for at få ofre til at autentificere dem til en målkonto. Når trusselsaktøren har fået adgang til et cloudmiljø, har de ofte registreret deres egen enhed på det for at få vedvarende adgang.
For at afbøde truslen bør organisationer bruge multifaktorautentificering, hvor de kan, for at reducere virkningen af en adgangskodekompromis, sagde NCSC. I situationer, hvor det kan være svært at bruge en anden godkendelsesfaktor, bør organisationer oprette stærke adgangskoder til beskyttelse af tjenestekonti. NCSC anbefalede også organisationer at implementere princippet om mindst privilegium for servicekonti for at begrænse, hvad en hacker potentielt kan gøre ved at misbruge en.
Derudover anbefalede rådgiveren at holde sessionslevetiderne for autentificeringstokens så "korte som praktiske" for at begrænse, hvad trusselsaktøren kunne gøre med et stjålet token og sikre, at enhedstilmeldingspolitikker ikke tillader registrering af uautoriserede enheder i skymiljøet.
"Canary servicekonti bør oprettes, som ser ud til at være gyldige servicekonti, men som aldrig bruges af legitime tjenester," sagde rådgiveren. Misbrug af sådanne konti er et klart tegn på uautoriseret adgang, som kræver øjeblikkelig undersøgelse.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cloud-security/russia-s-midnight-blizzard-targeting-service-accounts-for-initial-cloud-access
- :har
- :er
- :ikke
- :hvor
- 2009
- 7
- a
- adgang
- Adgang
- Konto
- Konti
- opnå
- aktiv
- aktivitet
- aktører
- tilpasser
- Desuden
- adresser
- Vedtagelse
- rådgivende
- Tilknyttet
- mod
- agenturer
- agentur
- også
- an
- ,
- og infrastruktur
- En anden
- vises
- applikationer
- ER
- AS
- At
- angribe
- Angriberen
- Angreb
- opmærksomhed
- autentificere
- Godkendelse
- Automatiseret
- luftfart
- BE
- Husk
- været
- bag
- tilhører
- Breaking
- men
- by
- CAN
- kan ikke
- center
- kæde
- klar
- Cloud
- sky infrastruktur
- cloud-tjenester
- samarbejde
- Fælles
- kompromis
- tillid
- Corporate
- kunne
- modparter
- lande
- skabe
- oprettet
- Cyber
- cybersikkerhed
- Cybersecurity
- Defenders
- Forsvar
- Degree
- enhed
- Enheder
- svært
- do
- nemt
- emails
- selvstændige
- energi
- håndhævelse
- enhed
- Miljø
- miljøer
- især
- Exploited
- faktor
- Fornavn
- efter
- Til
- tvunget
- fra
- yderligere
- Gevinst
- vundet
- vinder
- høstet
- få
- mål
- Regering
- regeringsorganer
- gruppe
- Dyrkning
- Hård Ost
- Have
- sundhedspleje
- Høj
- hostede
- HTTPS
- umiddelbar
- KIMOs Succeshistorier
- gennemføre
- in
- I andre
- inaktive
- omfatter
- Herunder
- industrier
- Infrastruktur
- initial
- i første omgang
- anvisninger
- Intelligens
- ind
- undersøgelse
- IP
- IP-adresser
- spørgsmål
- IT
- ITS
- jpg
- holde
- Nøgle
- kendt
- lancere
- Lov
- retshåndhævelse
- Leadership" (virkelig menneskelig ledelse)
- mindst
- legitim
- Leverage
- løftestang
- ligesom
- GRÆNSE
- Line (linje)
- logning
- længere
- vedligeholde
- Flertal
- maerker
- Making
- styring
- mange
- markere
- Kan..
- mekanismer
- microsoft
- midnat
- måske
- Militær
- misbruge
- afbøde
- Mandag
- mere
- flyttet
- multifaktorgodkendelse
- skal
- NCSS
- Behov
- behov
- netværk
- aldrig
- ingen
- bemærkede
- talrige
- oauth
- opnået
- lejlighed
- of
- tit
- on
- engang
- ONE
- Produktion
- or
- organisation
- organisationer
- Andet
- Andre
- ud
- egen
- Adgangskode
- Nulstilling/ændring af adgangskoder
- udholdenhed
- Personale
- Pivot
- plato
- Platon Data Intelligence
- PlatoData
- politikker
- potentielt
- Praktisk
- forhindre
- tidligere
- privilegeret
- problematisk
- beskytte
- beskyttet
- beskyttelse
- udbyder
- giver
- nylige
- for nylig
- anbefales
- anbefale
- reducere
- registreret
- Registrering
- forblive
- forskning
- boligområder
- dem
- Rusland
- Russisk
- s
- Said
- Anden
- Sektorer
- sikkerhed
- senior
- ledende ledelse
- tjeneste
- Tjenester
- Session
- skifte
- SKIFT
- Kort
- bør
- underskrive
- signifikant
- siden
- situationer
- Software
- software forsyningskæde
- SolarWinds
- Sponsoreret
- Spot
- stjålet
- stærk
- vellykket
- Succesfuld
- sådan
- forsyne
- forsyningskæde
- sikker
- modtagelig
- systemet
- taktik
- overtage
- tanke
- mål
- målrettet
- rettet mod
- mål
- at
- UK
- deres
- Them
- Der.
- derfor
- Disse
- de
- tror
- dem
- trussel
- trusselsaktører
- Tied
- til
- token
- Tokens
- traditionelt
- typisk
- Uk
- uberettiget
- us
- brug
- anvendte
- brugere
- ved brug af
- gyldig
- via
- Victim
- ofre
- Sårbarheder
- advarede
- var
- svagheder
- GODT
- Hvad
- som
- mens
- WHO
- hvis
- med
- uden
- arbejder
- år
- zephyrnet