«Midnight Blizzard», trusselgruppen tilknyttet russiske etterretningstjenester (SVR) og enheten bak angrepene på SolarWinds og organisasjoner som Microsoft og HPE, utnytter automatiserte skytjenestekontoer og sovende kontoer for å få tilgang til skymiljøer hos målorganisasjoner.
Angrepene markerer et betydelig skifte i taktikk for trusselaktøren (også kjent som APT29, Cozy Bear og Dukes) ettersom den tilpasser seg den økende bruken av skytjenester av organisasjoner i sektorer den tradisjonelt har rettet seg mot.
Et betydelig skifte
I en rådgivende mandag, Storbritannias National Cyber Security Center (NCSC), i samarbeid med US Cybersecurity and Infrastructure Security Agency (CISA) og deres kolleger i andre land, advarte om endringen i Midnight Blizzards taktikk og behovet for organisasjoner for å hindre trusselaktøren fra å få første tilgang til deres skymiljøer.
"For organisasjoner som har flyttet til skyinfrastruktur, bør en første forsvarslinje mot en aktør som SVR være å beskytte mot SVRs TTP-er for førstegangstilgang," bemerket rådgiveren, mens de anbefalte avbøtende tiltak mot trusselen.
USA og andre har knyttet Midnight Blizzard med høy grad av selvtillit til Russlands SVR, en trusselaktør som har vært aktiv siden minst 2009. Opprinnelig fikk gruppen oppmerksomhet for sine etterretningsangrep mot offentlige etater, tenketanker og organisasjoner innen helse og energi. I de siste årene, og spesielt siden SolarWinds-angrepet, har Midnight Blizzard rettet seg mot en rekke andre organisasjoner, inkludert de i programvareforsyningskjeden, helseforskning, rettshåndhevelse, luftfart og militærindustri. Nylig Microsoft og HPE ga trusselaktøren skylden for å bryte seg inn i deres respektive bedrifts-e-postmiljøer og få tilgang til e-poster som tilhører toppledere og nøkkelpersonell.
I mange av sine tidligere angrep har Midnight Blizzard utnyttet programvaresårbarheter og andre nettverkssvakheter for å få innledende tilgang til en målorganisasjons lokale IT-infrastruktur. Men med mange av sine mål som skifter til skybaserte og skybaserte miljøer, har trusselaktøren blitt tvunget til å pivotere og målrette mot skytjenester også. "For å få tilgang til flertallet av ofrenes skyvertsbaserte nettverk, må aktører først autentisere seg til skyleverandøren," sa NCSC.
Målrettingstjeneste og hvilende kontoer
En vanlig taktikk som Midnight Blizzard har brukt for å oppnå dette målet er å bruke brute-force gjetting og passordsprayingangrep for å få tilgang til skytjenestekontoer. Disse er vanligvis automatiserte, ikke-menneskelige kontoer for å administrere skyapplikasjoner og tjenester. Slike kontoer kan ikke enkelt beskyttes via tofaktorautentiseringsmekanismer og er derfor mer utsatt for et vellykket kompromiss og overtakelse, sa NCSC.
Men det er et annet problem som gjør trusselaktørens overtakelse av disse kontoene spesielt problematisk. "Å få tilgang til disse kontoene gir trusselaktører privilegert innledende tilgang til et nettverk for å starte ytterligere operasjoner," advarte NCSC. I mange av disse angrepene brukte trusselaktørene legitime bolig-IP-adresser for å starte passordsprayangrepene sine, noe som gjorde det vanskelig for forsvarere å oppdage aktiviteten for hva den var.
En annen taktikk som Midnight Blizzard har brukt for å få innledende tilgang til et målskymiljø er å utnytte sovende kontoer som tilhører brukere som kanskje ikke lenger jobber i en offerorganisasjon, men hvis konto kan forbli på systemet, bemerket rådgiveren. Noen ganger har trusselaktøren fått tilbake tilgang til et nettverk som den kan ha blitt startet opp fra ved å logge på inaktive kontoer og følge instruksjoner for å tilbakestille passordet.
Misbruk av autentiseringstokener
Andre taktikker som Midnight Blizzard har brukt for innledende skytilgang inkluderer bruk ulovlig innhentede OAuth-tokens å få tilgang til offerkontoer — og opprettholde utholdenhet — uten å kreve passord, samt bruke s.k. MFA-bombing eller MFA-tretthet angrep for å få ofre til å autentisere dem til en målkonto. Når trusselaktøren først har fått tilgang til et skymiljø, har de ofte registrert sin egen enhet på det for å få vedvarende tilgang.
For å redusere trusselen bør organisasjoner bruke multifaktorautentisering der de kan, for å redusere virkningen av et passordkompromiss, sa NCSC. I situasjoner der det kan være vanskelig å bruke en andre autentiseringsfaktor, bør organisasjoner lage sterke passord for å beskytte tjenestekontoer. NCSC anbefalte også at organisasjoner implementerer prinsippet om minst privilegium for tjenestekontoer for å begrense hva en angriper potensielt kan gjøre ved å misbruke en.
I tillegg gikk rådgiveren inn for å holde øktens levetid for autentiseringstokener så "korte som praktiske" for å begrense hva trusselaktøren kunne gjøre med et stjålet token og sørge for at enhetsregistreringspolicyer ikke tillater registrering av uautoriserte enheter i skymiljøet.
"Canary-tjenestekontoer bør opprettes som ser ut til å være gyldige tjenestekontoer, men som aldri brukes av legitime tjenester," sa rådgiveren. Misbruk av slike kontoer er et tydelig tegn på uautorisert tilgang som krever umiddelbar undersøkelse.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/cloud-security/russia-s-midnight-blizzard-targeting-service-accounts-for-initial-cloud-access
- : har
- :er
- :ikke
- :hvor
- 2009
- 7
- a
- adgang
- Tilgang
- Logg inn
- kontoer
- Oppnå
- aktiv
- aktivitet
- aktører
- tilpasser
- tillegg
- adresser
- Adopsjon
- rådgivende
- Tilknyttet
- mot
- byråer
- byrå
- også
- an
- og
- og infrastruktur
- En annen
- vises
- søknader
- ER
- AS
- At
- angripe
- angriper
- Angrep
- oppmerksomhet
- godkjenne
- Autentisering
- Automatisert
- luftfart
- BE
- Bær
- vært
- bak
- tilhørighet
- Breaking
- men
- by
- CAN
- kan ikke
- sentrum
- kjede
- fjerne
- Cloud
- sky infrastruktur
- skytjenester
- samarbeid
- Felles
- kompromiss
- selvtillit
- Bedriftens
- kunne
- kolleger
- land
- skape
- opprettet
- cyber
- cybersikkerhet
- Cybersecurity
- Defenders
- Forsvar
- Grad
- enhet
- Enheter
- vanskelig
- do
- lett
- emalje
- e-post
- ansatt
- energi
- håndhevelse
- enhet
- Miljø
- miljøer
- spesielt
- Exploited
- faktor
- Først
- etter
- Til
- tvang
- fra
- videre
- Gevinst
- fikk
- få
- fått
- få
- mål
- Regjeringen
- offentlige etater
- Gruppe
- Økende
- Hard
- Ha
- helsetjenester
- Høy
- vert
- HTTPS
- umiddelbar
- Påvirkning
- iverksette
- in
- I andre
- inaktiv
- inkludere
- Inkludert
- bransjer
- Infrastruktur
- innledende
- i utgangspunktet
- instruksjoner
- Intelligens
- inn
- etterforskning
- IP
- IP-adresser
- utstedelse
- IT
- DET ER
- jpg
- holde
- nøkkel
- kjent
- lansere
- Law
- rettshåndhevelse
- Ledelse
- minst
- legitim
- Leverage
- utnytte
- i likhet med
- BEGRENSE
- linje
- logging
- lenger
- vedlikeholde
- Flertall
- GJØR AT
- Making
- administrerende
- mange
- merke
- Kan..
- mekanismer
- Microsoft
- midnatt
- kunne
- Militær
- misbruk
- Minske
- mandag
- mer
- flyttet
- multifaktorautentisering
- må
- NCSC
- Trenger
- behov
- nettverk
- aldri
- Nei.
- bemerket
- mange
- oauth
- innhentet
- anledning
- of
- ofte
- on
- gang
- ONE
- Drift
- or
- organisasjon
- organisasjoner
- Annen
- andre
- ut
- egen
- Passord
- passord
- utholdenhet
- ansatte
- Pivot
- plato
- Platon Data Intelligence
- PlatonData
- Politikk
- potensielt
- Praktisk
- forebygge
- forrige
- privilegert
- problematisk
- beskytte
- beskyttet
- beskytte
- leverandør
- gir
- nylig
- nylig
- anbefales
- anbefale
- redusere
- registrert
- Registrering
- forbli
- forskning
- bolig
- de
- Russland
- russisk
- s
- Sa
- Sekund
- sektorer
- sikkerhet
- senior
- senior ledelse
- tjeneste
- Tjenester
- Session
- skift
- SKIFTENDE
- Kort
- bør
- undertegne
- signifikant
- siden
- situasjoner
- Software
- programvare forsyningskjeden
- Solarwinds
- Sponset
- Spot
- stjålet
- sterk
- vellykket
- vellykket
- slik
- levere
- forsyningskjeden
- sikker
- utsatt
- system
- taktikk
- overtakelse
- tanker
- Target
- målrettet
- rettet mot
- mål
- Det
- De
- Storbritannia
- deres
- Dem
- Der.
- derfor
- Disse
- de
- tror
- De
- trussel
- trusselaktører
- Tied
- til
- token
- tokens
- tradisjonelt
- typisk
- Uk
- uautorisert
- us
- bruke
- brukt
- Brukere
- ved hjelp av
- gyldig
- av
- Offer
- ofre
- Sikkerhetsproblemer
- advarte
- var
- svakheter
- VI VIL
- Hva
- hvilken
- mens
- HVEM
- hvem sin
- med
- uten
- arbeid
- år
- zephyrnet