האקרים רוסים מעבירים את הפוקוס שלהם לענן, ופרצו בהצלחה תשתיות ענן של ארגונים וגופים שונים. זה מה שפורסם לאחרונה בדו"ח מיוחד של מרכז אבטחת הסייבר הלאומי של בריטניה (NCSC), ,NSA ,CISA  ,FBI סוכנויות אבטחת סייבר מאוסטרליה, קנדה וניו זילנד (שירותי הביון של המדינות הידועות גם בשם "חמש העיניים").

הדו"ח כולל טקטיקות, טכניקות ונהלים עדכניים (TTPs) של קבוצת הפריצה הרוסית הידועה בשם APT29 , הידועה גם כ , The Dukes  המזוהה עם ה -SVR שירות המודיעין הרוסי. עד לאחרונה, תוקפי סייבר של שירות הביון החוץ הרוסי (SVR) תקפו בעיקר גופים ממשלתיים, ארגוני בריאות, צוותי חשיבה ומתקני אנרגיה, זאת על מנת כדי להשיג מידע רגיש ביותר למטרות מודיעין. אבל כעת, שחקני SVR אלה מרחיבים את טווח התקיפה שלהם לוקטורי התעופה, חינוך, אכיפת חוק, מועצות מקומיות ומדינתיות, מחלקות פיננסיות ממשלתיות וארגונים צבאיים.

ההתקפות הבולטות ביותר שבוצעו על ידי הקבוצה הזו בעבר כוללות מתקפת שרשרת האספקה, שפגעה בחברת התוכנה SolarWinds וקמפיין שכוון לארגונים המפתחים את החיסון נגד הקורונה. קבוצת התקיפה  APT29  קיימת מאז 2008, והתפתחה מפריצה לרשתות מקומיות להתקפות שרשרת אספקה וכעת ניצול שירותי ענן בעצמם.

הדוח מתאר מספר אופני פעולה המשמשים את APT29 כדי לקבל גישה ראשונית לסביבות ענן:

גישה דרך שירות וחשבונות רדומים
קבוצת התקיפה מינפה מתקפות Brute Force לפיצוח סיסמאות כדי לגשת לחשבונות שירות המשמשים בדרך כלל להפעלה וניהול של יישומים ושירותים ולעתים קרובות הם גם בעלי זכויות יתר, ומכאן שהשגת גישה לחשבונות כאלה מספקת לתוקפים גישה ראשונית מיוחסת לרשת הקורבן, המאפשרת לבצע פעולות נוספות. בנוסף, קמפיינים של SVR כוונו גם לחשבונות רדומים (השייכים למשתמשים שכבר אינם עובדים בארגון) אך החשבונות שלהם נשארים פעילים.

שימוש באימות ענן מבוסס טוקן כדי לעקוף אישורים
גישה לחשבונות משתמש מבוססי ענן מאומתת בדרך כלל על ידי אישורים (שם משתמש וסיסמה) או טוקנים (אסימוני גישה) שהונפקו על ידי המערכת. שחקני SVR השתמשו באסימונים כדי לגשת לחשבונות של הקורבנות שלהם, ללא צורך בסיסמה.

רישום מכשירים חדשים לענן
ה-SVR הצליח לעיתים לעקוף אימות סיסמא בחשבונות אישיים באמצעות "ריסוס סיסמאות" ושימוש חוזר באישורים, ולעיתים באמצעות טכניקת הרוויה של מנגנון האבטחה רב-שלבי (Mulfi factor Authentication) ה שבה התוקף דוחף שוב ושוב בקשות אימות רב-שלבי למכשיר של הקורבן עד שהקורבן מאשר את ההודעה. אז התוקף רושם את המכשיר שלו כמכשיר חדש אצל ספק הענן ומקבל גישה לרשת.

מניעת התקפה, זיהוי התקפה
הדו"ח מכיל המלצות אופרטיביות לצמצום הסיכון לפגיעה מתוקף מתוחכם זה, וביניהן ההמלצות הבאות להקשחת תצורת המערכת:
1- שימוש באימות רב-שלבי  (MFA)
2-  הטמעת מדיניות סיסמאות חזקה
3- השבתת חשבונות לא פעילים
4- הטמעת הרשאות עבור חשבונות שירות
5- הגדרת מדיניות רישום מכשירים
בנוסף, הדוח מציע לנטר באופן פעיל פעילויות חשודות, כולל ניטור של מגוון מקורות מידע (כגון אירועי יישומים ויומנים מבוססי מארח).

לסיכום:
ה-SVR הוא תוקף מתוחכם ובעל יכולת. כעת הוא ממקד את מאמציו בתשתית ענן וכן בשיטות פריצה מסורתיות יותר. אם לצטט את הדו"ח: "עבור ארגונים שעברו לתשתית ענן, קו הגנה ראשון נגד שחקן כמו SVR צריך להיות הגנה מפני השיטות שלו לחדירה ראשונית.

ברגע שה-SVR מקבל גישה ראשונית, הוא מסוגל להשתמש בכלים מתוחכמים מאוד על מנת לחקור את סביבת הענן ולבצע את הפעולות הזדוניות שלו". המשמעות היא שכדי לצמצם מתקפות מצד תוקפים ברמת התחכום של ה- SVR ארגונים חייבים לשפר את רמת האבטחה בענן שלהם ואת יכולות הזיהוי של איומים שרצים בענן, בזמן אמת.

כותב המאמר הוא חן בורשן, מנכ"ל חברת אבטחת הסייבר בענן "סקייהוק סקיוריט".

(צילום: יח"צ)