โMidnight Blizzard,โ kelompok ancaman yang berafiliasi dengan badan intelijen Rusia (SVR) dan entitas di balik serangan terhadap SolarWinds serta organisasi seperti Microsoft dan HPE, memanfaatkan akun layanan cloud otomatis dan akun tidak aktif untuk mengakses lingkungan cloud di organisasi target.
Serangan-serangan ini menandai perubahan taktik yang signifikan bagi pelaku ancaman (juga dikenal sebagai APT29, Cozy Bear, dan Dukes) seiring dengan semakin meningkatnya adopsi layanan cloud oleh organisasi-organisasi di sektor-sektor yang secara tradisional menjadi target mereka.
Pergeseran Signifikan
Dalam sebuah penasehatan pada hari Senin, Inggris Pusat Keamanan Siber Nasional (NCSC), berkolaborasi dengan Badan Keamanan Siber dan Infrastruktur AS (CISA) dan rekan-rekan mereka di negara lain, memperingatkan perubahan taktik Midnight Blizzard dan perlunya organisasi mencegah pelaku ancaman mendapatkan akses awal ke lingkungan cloud mereka.
โBagi organisasi yang telah beralih ke infrastruktur cloud, garis pertahanan pertama terhadap aktor seperti SVR harus melindungi terhadap TTP SVR untuk akses awal,โ kata penasihat tersebut, sambil merekomendasikan mitigasi terhadap ancaman tersebut.
AS dan negara-negara lain mengaitkan Midnight Blizzard dengan tingkat kepercayaan yang tinggi dengan SVR Rusia, aktor ancaman yang telah aktif setidaknya sejak tahun 2009. Awalnya kelompok ini menarik perhatian karena serangan pengumpulan intelijen terhadap lembaga pemerintah, lembaga think tank, dan organisasi. dalam bidang kesehatan dan energi. Dalam beberapa tahun terakhir, dan terutama sejak serangan SolarWinds, Midnight Blizzard telah menargetkan banyak organisasi lain termasuk organisasi yang bergerak di bidang rantai pasokan perangkat lunak, penelitian perawatan kesehatan, penegakan hukum, penerbangan, dan industri militer. Baru-baru ini Microsoft dan HPE menyalahkan pelaku ancaman karena membobol lingkungan email perusahaan masing-masing dan mengakses email milik pimpinan senior dan personel kunci.
Dalam banyak serangan sebelumnya, Midnight Blizzard telah mengeksploitasi kerentanan perangkat lunak dan kelemahan jaringan lainnya untuk mendapatkan akses awal ke infrastruktur TI lokal organisasi target. Namun dengan banyaknya target yang beralih ke lingkungan cloud-native dan cloud-host, pelaku ancaman terpaksa beralih dan menargetkan layanan cloud juga. โUntuk mengakses sebagian besar jaringan cloud host milik korban, pelaku harus terlebih dahulu berhasil melakukan autentikasi ke penyedia cloud,โ kata NCSC.
Layanan Penargetan dan Akun Tidak Aktif
Salah satu taktik umum yang digunakan Midnight Blizzard untuk mencapai tujuan tersebut adalah dengan menggunakan serangan tebakan brute force dan penyemprotan kata sandi untuk mendapatkan akses ke akun layanan cloud. Ini biasanya merupakan akun otomatis dan non-manusia untuk mengelola aplikasi dan layanan cloud. Akun tersebut tidak dapat dengan mudah dilindungi melalui mekanisme otentikasi dua faktor dan oleh karena itu lebih rentan terhadap keberhasilan kompromi dan pengambilalihan, kata NCSC.
Namun ada masalah lain yang membuat pengambilalihan akun-akun ini oleh pelaku ancaman menjadi sangat bermasalah. โMendapatkan akses ke akun-akun ini memberikan pelaku ancaman akses awal yang istimewa ke jaringan, untuk meluncurkan operasi lebih lanjut,โ NCSC memperingatkan. Dalam sebagian besar serangan ini, pelaku ancaman menggunakan alamat IP perumahan yang sah untuk meluncurkan serangan penyemprotan kata sandi, sehingga menyulitkan pembela HAM untuk mengenali aktivitas apa yang sebenarnya terjadi.
Taktik lain yang digunakan Midnight Blizzard untuk mendapatkan akses awal ke lingkungan cloud target adalah dengan memanfaatkan akun tidak aktif milik pengguna yang mungkin tidak lagi bekerja di organisasi korban, namun akunnya mungkin tetap ada di sistem, kata penasihat tersebut. Kadang-kadang, pelaku ancaman mendapatkan kembali akses ke jaringan tempat ia di-boot dengan masuk ke akun yang tidak aktif dan mengikuti instruksi untuk mengatur ulang kata sandi.
Menyalahgunakan Token Otentikasi
Taktik lain yang digunakan Midnight Blizzard untuk akses cloud awal termasuk penggunaan token OAuth yang diperoleh secara ilegal untuk mengakses akun korban โ dan mempertahankan persistensi โ tanpa memerlukan kata sandi, serta menggunakan apa yang disebut Pengeboman MFA atau kelelahan MFA serangan untuk membuat korban mengautentikasi mereka ke akun target. Setelah pelaku ancaman mendapatkan akses ke lingkungan cloud, mereka sering kali mendaftarkan perangkat mereka sendiri ke lingkungan tersebut untuk mendapatkan akses terus-menerus.
Untuk memitigasi ancaman tersebut, organisasi harus menggunakan autentikasi multifaktor jika memungkinkan, untuk mengurangi dampak pembobolan kata sandi, kata NCSC. Dalam situasi di mana mungkin sulit untuk menggunakan faktor autentikasi kedua, organisasi harus membuat kata sandi yang kuat untuk melindungi akun layanan. NCSC juga merekomendasikan agar organisasi menerapkan hal ini prinsip hak istimewa agar akun layanan membatasi apa yang berpotensi dilakukan penyerang dengan menyalahgunakannya.
Selain itu, saran tersebut menganjurkan untuk menjaga masa pakai token autentikasi sesingkat mungkin untuk membatasi apa yang dapat dilakukan pelaku ancaman terhadap token yang dicuri dan memastikan bahwa kebijakan pendaftaran perangkat tidak mengizinkan pendaftaran perangkat yang tidak sah di lingkungan cloud.
โAkun layanan Canary harus dibuat yang tampak seperti akun layanan yang valid tetapi tidak pernah digunakan oleh layanan yang sah,โ kata penasihat tersebut. Penyalahgunaan akun tersebut merupakan tanda jelas adanya akses tidak sah yang memerlukan penyelidikan segera.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/cloud-security/russia-s-midnight-blizzard-targeting-service-accounts-for-initial-cloud-access
- :memiliki
- :adalah
- :bukan
- :Di mana
- 2009
- 7
- a
- mengakses
- mengakses
- Akun
- Akun
- Mencapai
- aktif
- kegiatan
- aktor
- beradaptasi
- tambahan
- alamat
- Adopsi
- laporan
- Berafiliasi
- terhadap
- lembaga
- badan
- juga
- an
- dan
- dan infrastruktur
- Lain
- muncul
- aplikasi
- ADALAH
- AS
- At
- menyerang
- penyerang
- Serangan
- perhatian
- mengotentikasi
- Otentikasi
- Otomatis
- penerbangan
- BE
- Beruang
- menjadi
- di belakang
- termasuk
- Melanggar
- tapi
- by
- CAN
- tidak bisa
- pusat
- rantai
- jelas
- awan
- infrastruktur cloud
- layanan cloud
- kolaborasi
- Umum
- kompromi
- kepercayaan
- Timeline
- bisa
- rekan-rekan
- negara
- membuat
- dibuat
- maya
- keamanan cyber
- Keamanan cyber
- Pembela
- Pertahanan
- Derajat
- alat
- Devices
- sulit
- do
- mudah
- dipekerjakan
- energi
- pelaksanaan
- entitas
- Lingkungan Hidup
- lingkungan
- terutama
- dieksploitasi
- faktor
- Pertama
- berikut
- Untuk
- terpaksa
- dari
- lebih lanjut
- Mendapatkan
- diperoleh
- mendapatkan
- mengumpulkan
- mendapatkan
- tujuan
- Pemerintah
- instansi pemerintah
- Kelompok
- Pertumbuhan
- Sulit
- Memiliki
- kesehatan
- High
- host
- HTTPS
- Segera
- Dampak
- melaksanakan
- in
- Di lain
- non-aktif
- memasukkan
- Termasuk
- industri
- Infrastruktur
- mulanya
- mulanya
- instruksi
- Intelijen
- ke
- investigasi
- IP
- Alamat IP
- isu
- IT
- NYA
- jpg
- pemeliharaan
- kunci
- dikenal
- jalankan
- Hukum
- penegakan hukum
- Kepemimpinan
- paling sedikit
- sah
- Leverage
- leveraging
- 'like'
- MEMBATASI
- baris
- penebangan
- lagi
- memelihara
- Mayoritas
- MEMBUAT
- Membuat
- pelaksana
- banyak
- tanda
- Mungkin..
- mekanisme
- Microsoft
- tengah malam
- mungkin
- Militer
- penyalahgunaan
- Mengurangi
- Senin
- lebih
- terharu
- otentikasi multifaktor
- harus
- NCSC
- Perlu
- kebutuhan
- jaringan
- tak pernah
- tidak
- terkenal
- banyak sekali
- sumpah
- diperoleh
- kesempatan
- of
- sering
- on
- sekali
- ONE
- Operasi
- or
- organisasi
- organisasi
- Lainnya
- Lainnya
- di luar
- sendiri
- Kata Sandi
- password
- ketekunan
- Personil
- Poros
- plato
- Kecerdasan Data Plato
- Data Plato
- Kebijakan
- berpotensi
- Praktis
- mencegah
- sebelumnya
- istimewa
- bermasalah
- melindungi
- terlindung
- melindungi
- pemberi
- menyediakan
- baru
- baru-baru ini
- direkomendasikan
- merekomendasikan
- menurunkan
- terdaftar
- Pendaftaran
- tinggal
- penelitian
- perumahan
- itu
- Rusia
- Rusia
- s
- Tersebut
- Kedua
- Sektor
- keamanan
- senior
- pemimpin senior
- layanan
- Layanan
- Sidang
- bergeser
- PERGESERAN
- Pendek
- harus
- menandatangani
- penting
- sejak
- situasi
- Perangkat lunak
- rantai pasokan perangkat lunak
- SuryaAngin
- Disponsori
- Spot
- dicuri
- kuat
- sukses
- berhasil
- seperti itu
- menyediakan
- supply chain
- yakin
- rentan
- sistem
- taktik
- pengambilalihan
- Tank
- target
- ditargetkan
- penargetan
- target
- bahwa
- Grafik
- Inggris
- mereka
- Mereka
- Sana.
- karena itu
- Ini
- mereka
- berpikir
- itu
- ancaman
- aktor ancaman
- Terjalin
- untuk
- token
- Token
- secara tradisional
- khas
- Uk
- tidak sah
- us
- menggunakan
- bekas
- Pengguna
- menggunakan
- sah
- melalui
- Korban
- korban
- Kerentanan
- memperingatkan
- adalah
- kelemahan
- BAIK
- Apa
- yang
- sementara
- SIAPA
- yang
- dengan
- tanpa
- kerja
- tahun
- zephyrnet.dll