“Midnight Blizzard”, il gruppo di minaccia affiliato ai servizi di intelligence russi (SVR) e l’entità dietro gli attacchi a SolarWinds e organizzazioni come Microsoft e HPE, sta sfruttando account di servizi cloud automatizzati e account dormienti per accedere agli ambienti cloud delle organizzazioni prese di mira.
Gli attacchi segnano un cambiamento significativo nelle tattiche dell’autore della minaccia (noto anche come APT29, Cozy Bear e Dukes) poiché si adatta alla crescente adozione di servizi cloud da parte delle organizzazioni nei settori che ha preso di mira tradizionalmente.
Un cambiamento significativo
In un avviso lunedì, il Regno Unito Centro nazionale per la sicurezza informatica (NCSC), in collaborazione con il Agenzia statunitense per la sicurezza informatica e la sicurezza delle infrastrutture (CISA) e le loro controparti in altri paesi, hanno avvertito del cambiamento nelle tattiche di Midnight Blizzard e della necessità per le organizzazioni di impedire all'autore della minaccia di ottenere l'accesso iniziale ai loro ambienti cloud.
"Per le organizzazioni che sono passate all'infrastruttura cloud, una prima linea di difesa contro un attore come SVR dovrebbe essere quella di proteggersi dai TTP di SVR per l'accesso iniziale", osserva l'avviso, raccomandando al contempo mitigazioni contro la minaccia.
Gli Stati Uniti e altri hanno collegato Midnight Blizzard con un alto grado di fiducia all'SVR russo, un attore di minacce attivo almeno dal 2009. Inizialmente il gruppo ha attirato l'attenzione per i suoi attacchi di raccolta di informazioni contro agenzie governative, think tank e organizzazioni nel settore sanitario ed energetico. Negli ultimi anni, e soprattutto dopo l'attacco SolarWinds, Midnight Blizzard ha preso di mira numerose altre organizzazioni, comprese quelle della catena di fornitura del software, della ricerca sanitaria, delle forze dell'ordine, dell'aviazione e dell'industria militare. Recentemente Microsoft e HPE hanno incolpato l'autore della minaccia per penetrare nei rispettivi ambienti di posta elettronica aziendale e accedere a messaggi di posta elettronica appartenenti a dirigenti senior e personale chiave.
In molti dei suoi attacchi precedenti, Midnight Blizzard ha sfruttato le vulnerabilità del software e altri punti deboli della rete per ottenere l'accesso iniziale all'infrastruttura IT locale dell'organizzazione presa di mira. Ma poiché molti dei suoi obiettivi si sono spostati verso ambienti nativi e ospitati sul cloud, l’autore della minaccia è stato costretto a cambiare direzione e prendere di mira anche i servizi cloud. "Per accedere alla maggior parte della rete ospitata nel cloud delle vittime, gli attori devono prima autenticarsi con successo presso il fornitore di servizi cloud", ha affermato l'NCSC.
Targeting per servizi e conti dormienti
Una tattica comune utilizzata da Midnight Blizzard per raggiungere questo obiettivo è quella di utilizzare attacchi di forza bruta e attacchi di password spraying per ottenere l'accesso agli account dei servizi cloud. Si tratta in genere di account automatizzati e non umani per la gestione di applicazioni e servizi cloud. Tali account non possono essere facilmente protetti tramite meccanismi di autenticazione a due fattori e sono quindi più suscettibili a compromessi e acquisizioni di successo, ha affermato l’NCSC.
Ma c’è un altro problema che rende particolarmente problematica l’acquisizione di questi account da parte degli autori delle minacce. “Ottenere l’accesso a questi account fornisce agli autori delle minacce un accesso iniziale privilegiato a una rete, per avviare ulteriori operazioni”, ha avvertito l’NCSC. In molti di questi attacchi, gli autori delle minacce hanno utilizzato indirizzi IP residenziali legittimi per lanciare i loro attacchi spray password, rendendo difficile per i difensori individuare l’attività per quello che era.
Un'altra tattica utilizzata da Midnight Blizzard per ottenere l'accesso iniziale a un ambiente cloud di destinazione è quella di sfruttare gli account dormienti appartenenti a utenti che potrebbero non lavorare più presso l'organizzazione vittima, ma il cui account potrebbe rimanere nel sistema, osserva l'avviso. A volte, l'autore della minaccia ha riacquistato l'accesso a una rete da cui avrebbe potuto essere stato avviato accedendo ad account inattivi e seguendo le istruzioni per reimpostare la password.
Abusare dei token di autenticazione
Altre tattiche utilizzate da Midnight Blizzard per l'accesso iniziale al cloud includono l'utilizzo token OAuth ottenuti illegalmente per accedere agli account delle vittime – e mantenere la persistenza – senza richiedere una password, nonché utilizzare i cosiddetti Bombardamento del Ministero degli Affari Esteri o affaticamento del Ministero degli Affari Esteri attacchi per convincere le vittime ad autenticarli su un account di destinazione. Una volta che l'autore della minaccia ha ottenuto l'accesso a un ambiente cloud, spesso vi registra il proprio dispositivo per ottenere un accesso permanente.
Per mitigare la minaccia, le organizzazioni dovrebbero utilizzare l’autenticazione a più fattori laddove possibile, per ridurre l’impatto di una compromissione della password, ha affermato l’NCSC. In situazioni in cui potrebbe essere difficile utilizzare un secondo fattore di autenticazione, le organizzazioni dovrebbero creare password complesse per proteggere gli account di servizio. Il NCSC ha inoltre raccomandato alle organizzazioni di implementare il principio di minimo privilegio per gli account di servizio per limitare ciò che un utente malintenzionato potrebbe fare utilizzandone uno in modo improprio.
Inoltre, l’avviso raccomanda di mantenere la durata delle sessioni dei token di autenticazione “breve quanto pratica” per limitare ciò che l’autore della minaccia potrebbe fare con un token rubato e assicurarsi che le politiche di registrazione dei dispositivi non consentano la registrazione di dispositivi non autorizzati nell’ambiente cloud.
"Dovrebbero essere creati account di servizio Canary che sembrino account di servizio validi ma che non vengano mai utilizzati da servizi legittimi", afferma l'avviso. L'uso improprio di tali account è un chiaro segno di accesso non autorizzato che necessita di un'indagine immediata.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cloud-security/russia-s-midnight-blizzard-targeting-service-accounts-for-initial-cloud-access
- :ha
- :È
- :non
- :Dove
- 2009
- 7
- a
- accesso
- Accedendo
- Il mio account
- conti
- Raggiungere
- attivo
- attività
- attori
- adatta
- aggiunta
- indirizzi
- Adozione
- consultivo
- affiliato
- contro
- agenzie
- agenzia
- anche
- an
- ed
- e infrastruttura
- Un altro
- apparire
- applicazioni
- SONO
- AS
- At
- attacco
- aggressore
- attacchi
- attenzione
- autenticare
- Autenticazione
- Automatizzata
- aviazione
- BE
- Orso
- stato
- dietro
- appartenente
- Rottura
- ma
- by
- Materiale
- non può
- centro
- catena
- pulire campo
- Cloud
- infrastruttura cloud
- servizi cloud
- collaborazione
- Uncommon
- compromesso
- fiducia
- Aziende
- potuto
- omologhi
- paesi
- creare
- creato
- Cyber
- sicurezza informatica
- Cybersecurity
- Difensori
- Difesa
- Laurea
- dispositivo
- dispositivi
- difficile
- do
- facilmente
- occupato
- energia
- applicazione
- entità
- Ambiente
- ambienti
- particolarmente
- Exploited
- fattore
- Nome
- i seguenti
- Nel
- forzato
- da
- ulteriormente
- Guadagno
- guadagnato
- guadagnando
- raccolto
- ottenere
- scopo
- Enti Pubblici
- agenzie governative
- Gruppo
- Crescita
- Hard
- Avere
- assistenza sanitaria
- Alta
- ospitato
- HTTPS
- immediato
- Impact
- realizzare
- in
- In altre
- inattivo
- includere
- Compreso
- industrie
- Infrastruttura
- inizialmente
- inizialmente
- istruzioni
- Intelligence
- ai miglioramenti
- indagine
- IP
- Gli indirizzi IP
- problema
- IT
- SUO
- jpg
- conservazione
- Le
- conosciuto
- lanciare
- Legge
- applicazione della legge
- Leadership
- meno
- legittimo
- Leva
- leveraging
- piace
- LIMITE
- linea
- registrazione
- più a lungo
- mantenere
- Maggioranza
- FA
- Fare
- gestione
- molti
- marchio
- Maggio..
- meccanismi di
- Microsoft
- mezzanotte
- forza
- Militare
- uso improprio
- Ridurre la perdita dienergia con una
- Lunedì
- Scopri di più
- mosso
- autenticazione a più fattori
- devono obbligatoriamente:
- NCSC
- Bisogno
- esigenze
- Rete
- mai
- no
- noto
- numerose
- OAuth
- ottenuto
- occasione
- of
- di frequente
- on
- una volta
- ONE
- Operazioni
- or
- organizzazione
- organizzazioni
- Altro
- Altri
- su
- proprio
- Password
- Le password
- persistenza
- Personale
- Perno
- Platone
- Platone Data Intelligence
- PlatoneDati
- Termini e Condizioni
- potenzialmente
- Pratico
- prevenire
- precedente
- privilegiato
- problematico
- protegge
- protetta
- proteggere
- fornitore
- fornisce
- recente
- recentemente
- raccomandato
- raccomandando
- ridurre
- registrato
- Iscrizione
- rimanere
- riparazioni
- Residenziale
- quelli
- Russia
- russo
- s
- Suddetto
- Secondo
- Settori
- problemi di
- anziano
- dirigenza senior
- servizio
- Servizi
- Sessione
- spostamento
- MUTEVOLE
- Corti
- dovrebbero
- segno
- significativa
- da
- situazioni
- Software
- catena di fornitura del software
- SolarWinds
- Sponsored
- Spot
- rubare
- forte
- di successo
- Con successo
- tale
- fornire
- supply chain
- sicuro
- adatto
- sistema
- tattica
- acquisizione
- serbatoi
- Target
- mirata
- mira
- obiettivi
- che
- Il
- Regno Unito
- loro
- Li
- Là.
- perciò
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- think
- quelli
- minaccia
- attori della minaccia
- Legato
- a
- token
- Tokens
- tradizionalmente
- tipicamente
- Uk
- non autorizzato
- us
- uso
- utilizzato
- utenti
- utilizzando
- un valido
- via
- Vittima
- vittime
- vulnerabilità
- avvertito
- Prima
- debolezza
- WELL
- Che
- quale
- while
- OMS
- di chi
- con
- senza
- lavoro
- anni
- zefiro