Cozy Bear i inne APT zmieniają taktykę wraz ze wzrostem wykorzystania chmury


Podmioty zagrażające powiązane z państwem rosyjskim zmieniają swoją taktykę w miarę migracji coraz większej liczby organizacji do infrastruktury opartej na chmurze, ale dobra wiadomość jest taka, że ​​podstawowe strategie ograniczania cyberbezpieczeństwa są nadal niezwykle skuteczne przeciwko nawet wyrafinowanym hakerom rządowym – twierdzi brytyjski Narodowe Centrum Cyberbezpieczeństwa (NCSC) stwierdziło.

W poradniku opublikowanym wspólnie z pokrewnymi agencjami Five Eyes z Australii, Kanady, Nowej Zelandii i USA NCSC skupiło się w szczególności na grupie zaawansowanych trwałych zagrożeń (APT), określanej jako APT29, powszechnie znanej jako Cozy Bear i innych nazwy takie jak Zamieć o północy.

Cozy Bear to jednostka powiązana w różnych okresach zarówno z Moskiewską Federalną Służbą Bezpieczeństwa (FSB), jak i jej Służbą Wywiadu Zagranicznego (SVR), obie agencje będące następcami KGB Związku Radzieckiego. Cosy Bear jest najbardziej znany z SolarWinds Sunburst/Solorigate incydent i w 2016 r włamanie do Komitetu Narodowego Demokratów.

„Jesteśmy zdecydowani w naszym zaangażowaniu w ujawnianie szkodliwej aktywności cybernetycznej, co obejmuje podnoszenie świadomości na temat zmian w zachowaniu grup, które stale atakują Wielką Brytanię” – powiedział dyrektor operacyjny NCSC Paul Chichester.

„NCSC wzywa organizacje do zapoznania się z zawartymi w tym poradniku poradami dotyczącymi wywiadu i łagodzenia skutków, aby pomóc w obronie swoich sieci”.

NCSC stwierdziło, że wiele sektorów, na które skupia się Cozy Bear, takich jak zespoły doradców, organy rządowe i organizacje z sektora edukacji i zdrowia, przeszło na infrastrukturę opartą na chmurze – szczególnie w następstwie Covid-19 – co oznacza, że ​​więcej tradycyjne sposoby dostępu, takie jak wykorzystywanie typowych luk w zabezpieczeniach i zagrożeń (CVE) w oprogramowaniu, stały się nieco bardziej ograniczone.

Reklama

Zamiast tego zaobserwował, że rosyjscy ugrupowania cyberprzestępcze przyjmują nowe techniki, takie jak kradzież tokenów dostępu wydawanych przez system w celu naruszenia bezpieczeństwa kont ofiar, rejestrowanie nowych urządzeń w środowisku chmurowym ofiary poprzez ponowne wykorzystanie zhakowanych danych uwierzytelniających oraz atakowanie kont systemowych za pomocą rozpylania haseł i ataków metodą brute-force .

Ofiary często skutecznie włączają takie metody dzięki słabym zasadom zarządzania hasłami i brakowi uwierzytelniania wieloskładnikowego (MFA).

NCSC stwierdziło, że po uzyskaniu wstępnego dostępu cyberprzestępca wykorzystuje wysoce wyrafinowane możliwości po włamaniu, takich jak MagicWebto technika po raz pierwszy udokumentowana w 2022 r. przez zespoły badawcze firmy Microsoft zajmujące się badaniem zagrożeń, dlatego też organizacje zagrożone są zachęcane do zwrócenia szczególnej uwagi na metody wstępnego dostępu.

W związku z tym obrońcy mogą uznać niektóre z poniższych rozwiązań za dobry punkt wyjścia, jeśli nie zostały jeszcze przyjęte:

  • Natychmiast wdroż MFA aby zmniejszyć skutki naruszenia bezpieczeństwa haseł;
  • Egzekwuj silne, unikalne hasła na kontach chronionych za pomocą usługi MFA i wyłączaj je, gdy nie są potrzebne, po zastosowaniu odpowiednich zasad zarządzać dołączającymi, przenoszącymi się i opuszczającymi firmę;
  • Adoptuj zasady najmniejszych przywilejów (POLP) w celu kontroli dostępu do ważnych zasobów IT;
  • Twórz konta usług „kanaryjskich”, które wydają się ważne, ale nigdy nie są używane, oraz wdrażaj monitorowanie i ostrzeganie na nich, aby wykryć oznaki, że ugrupowanie zagrażające mogło uzyskać dostęp do Twojego środowiska;
  • Egzekwuj ścisłe limity czasowe trwania sesji, aby zminimalizować możliwość nadużycia skradzionych tokenów sesji przez osobę zagrażającą – pamiętaj o połączeniu tej polityki z odpowiednią metodą uwierzytelniania, która nie spowoduje zbytniego nadużycia legalnych użytkowników;
  • Skonfiguruj zasady rejestracji urządzeń zezwalać tylko na autoryzowane urządzenia, korzystając tam, gdzie to możliwe, z rejestracją typu zero-touch lub silną formą usługi MFA, w przypadku której należy zastosować samorejestrację.
  • Rozważ użycie szerszy zakres źródeł informacjitakie jak zdarzenia aplikacji i dzienniki hosta, aby zapobiegać, wykrywać i badać dziwactwa, zwracając szczególną uwagę na źródła i wskaźniki kompromisu (IoC), które charakteryzują się większym odsetkiem fałszywych alarmów.



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Team Group przedstawia dysk SSD MP44Q M.2 Gen 4 NVMe

Znana globalna marka pamięci Team Group Inc. stara się zapewniać konsumentom różnorodne i optymalne rozwiązania w zakresie pamięci masowej. Dziś z dumą...

Google zwalnia 28 pracowników po proteście dotyczącym izraelskiego kontraktu na chmurę

Poważne konsekwencje destrukcyjnego zachowaniaGooglersi,Być może widzieliście wczoraj doniesienia o protestach w niektórych naszych biurach. Niestety kilku pracowników sprowadziło wydarzenie do naszych budynków...

Obóz programistyczny Lambda School — obecnie BloomTech — w końcu zostaje ukarany

Dlaczego? Wśród innych oszukańczych praktyk „Bloom Institute of Technology” nie nazywał ich pożyczkami. Reklamowała sposób, w jaki studenci mogą znaleźć dobrze...
Advertisment