Новости CISA предупредило бизнес, что российские хакеры из APT29 сосредоточились на облаках

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Хакеры из группировки APT29, которые ранее фокусировались на поиске и использовании уязвимостей on premise, теперь максимально сконцентрированы на атаках на облачные сервисы.


Такое предупреждение американское Агентство по кибербезопасности и защите инфраструктуры (CISA). В отчете уточняется, что APT29, также известная как Midnight Blizzard, tDukes или Cozy Bear, почти точно является частью российской Службы внешней разведки (СВР).

CISA предупредило бизнес, что российские хакеры из APT29 сосредоточились на облаках


В CISA пояснили, что ранее APT29 успешно использовали брутфорс (подбор паролей) для взлома сервисных аккаунтов. Последние оказывались более доступны из-за отсутствия за ними реального пользователя и, например, такого варианта защиты, как мультифакторная аутентификация. Еще одна тактика группировки — использование неактивных корпоративных аккаунтов, доступ к которым хакеры получают через процедуру смены паролей.

В случае с облачными сервисами APT29 нередко использует для доступа токены. Обход многофакторной аутентификации нередко осуществляется при помощи атаки MFA bombing с многократно повторяющимися запросами, рассчитанными на усталость жертвы от однотипных уведомлений. Получив доступ к облачному хранилищу компании, участники группировки добавляют к нему новые устройства.

CISA предупредило мигрирующие на облачную инфраструктуру компании об опасности действий APT29. Компании призвали усилить защиту данных, в особенности — максимально усложнить порядок первоначального доступа к облаку.


 
Сверху Снизу