Rusko sofistikované své kybernetické útoky: nyní Disk Google

Rusko nadále zvyšuje počet a sofistikovanost svých kybernetických útoků. Skupiny kyberzločinců, sponzorované a financované Putinovou vládou, v posledních měsících zintenzivnily své kampaně, kdy se služby cloudových úložišť jako DropBox nebo Google Drive staly každodenními cíli.

Rusko a jeho rozsáhlá expertní organizace na počítačovou kriminalitu viděly, že slabina nespočívá v nejistotě těchto platforem, ale v extrémní důvěře, kterou v ně uživatelé mají. A důvěra, to znamená, že výstraha je snížena. Zpráva vypracovaná společností Palo Alto Networks (PAWN) ukazuje, že Rusové nacházejí způsoby, jak tuto důvěru využít, aby bylo extrémně obtížné jejich útoky odhalit a zabránit jim. Nejnovější kampaně Advanced Persistent Threat (APT) sledované přední světovou společností v oblasti kybernetické bezpečnosti, jako je Cloaked Ursa (také známý jako APT29, Nobelium nebo Cozy Bear), demonstrují sofistikovanost a její schopnost rychle integrovat oblíbené cloudové úložiště, aby se zabránilo odhalení.

Cloaked Ursa se specializuje na tyto typy služeb. Několik kybernetických útoků se již objevilo na populárních platformách, jako je Trello, a nedávno jejich poslední dvě kampaně poprvé využily zranitelnosti Disku Google. Společnost zabývající se kybernetickou bezpečností říká, že všudypřítomná povaha služeb cloudového úložiště platformy Disk Google v kombinaci s důvěrou milionů zákazníků po celém světě vzbuzuje mimořádné obavy, že zahrnutí malwaru z tohoto APT do procesu doručování disku je mimořádně důležité.

Rusko a jeho armáda kyberzločinců viděli, že extrémní důvěra v platformy jako Trello nebo Google Drive může vést k úspěšnému kybernetickému útoku.

Klíčem k úspěchu Putinových útočníků je, že když je používání důvěryhodných služeb kombinováno s šifrováním, je pro organizace extrémně obtížné odhalit zákeřnou aktivitu v souvislosti s kampaní. A je to tím,Odvětví kybernetické bezpečnosti si je jisté, že za maskovanou medvědicí stojí ruská vláda. Jedná se o dlouhodobou skupinu kyberzločinců, jejichž původ sahá až do malwarových kampaní proti Čečensku a dalším zemím bývalého sovětského bloku v roce 2008, včetně Ukrajiny. V posledních letech bylo této skupině připisováno hackování Demokratického národního výboru Spojených států (DNC) v roce 2016, stejně jako kompromisy dodavatelského řetězce SolarWinds v roce 2020. Zvýšení specifičnosti atribuce, jak Spojené státy Spojené království tuto skupinu veřejně připsalo ruské zahraniční zpravodajské službě (SVR).

Nejnovější kybernetické útoky směřovaly na západní diplomatické mise a odehrály se v květnu a červnu. Údaje naznačují, že to ovlivnilo některé vyslanectví v Portugalsku a Brazílii a k ​​provedení kybernetického útoku zařadili do programu jednání diplomatů schůzku s odkazem, který obsahoval škodlivý soubor HTML (EnvyScout) a to sloužilo k šíření malwaru prostřednictvím sítě mise.

Podle PANW nejnovější kampaně Cloaked Ursa (také známé jako APT 29 / Nobelium / Cozy Bear) demonstrují její sofistikovanost a schopnost rychle integrovat cloudové služby, aby se zabránilo odhalení. Používání legitimních a důvěryhodných cloudových služeb není pro tuto skupinu úplnou novinkou.

Zákazníci Palo Alto Networks jsou chráněni před indikátory kompromitace (IoC) uvedenými v publikaci Unit 42 prostřednictvím pokročilého filtrování adres URL, zabezpečení DNS a analýzy malwaru WildFire.

Úplné zobrazení pozorovaných technik, příslušných postupů a IoC souvisejících s touto zprávou lze nalézt v prohlížeči ATOM jednotky 42. Společnost Palo Alto Networks také pracovala na tom, aby tuto aktivitu sdělila Googlu i DropBoxu, a podnikla kroky k zablokování této aktivity. .