Хакеры из группировки APT29, которые ранее фокусировались на поиске и использовании уязвимостей on premise, теперь максимально сконцентрированы на атаках на облачные сервисы.
Такое предупреждение американское Агентство по кибербезопасности и защите инфраструктуры (CISA). В отчете уточняется, что APT29, также известная как Midnight Blizzard, tDukes или Cozy Bear, почти точно является частью российской Службы внешней разведки (СВР).
В CISA пояснили, что ранее APT29 успешно использовали брутфорс (подбор паролей) для взлома сервисных аккаунтов. Последние оказывались более доступны из-за отсутствия за ними реального пользователя и, например, такого варианта защиты, как мультифакторная аутентификация. Еще одна тактика группировки — использование неактивных корпоративных аккаунтов, доступ к которым хакеры получают через процедуру смены паролей.
В случае с облачными сервисами APT29 нередко использует для доступа токены. Обход многофакторной аутентификации нередко осуществляется при помощи атаки MFA bombing с многократно повторяющимися запросами, рассчитанными на усталость жертвы от однотипных уведомлений. Получив доступ к облачному хранилищу компании, участники группировки добавляют к нему новые устройства.
CISA предупредило мигрирующие на облачную инфраструктуру компании об опасности действий APT29. Компании призвали усилить защиту данных, в особенности — максимально усложнить порядок первоначального доступа к облаку.
Такое предупреждение американское Агентство по кибербезопасности и защите инфраструктуры (CISA). В отчете уточняется, что APT29, также известная как Midnight Blizzard, tDukes или Cozy Bear, почти точно является частью российской Службы внешней разведки (СВР).
В CISA пояснили, что ранее APT29 успешно использовали брутфорс (подбор паролей) для взлома сервисных аккаунтов. Последние оказывались более доступны из-за отсутствия за ними реального пользователя и, например, такого варианта защиты, как мультифакторная аутентификация. Еще одна тактика группировки — использование неактивных корпоративных аккаунтов, доступ к которым хакеры получают через процедуру смены паролей.
В случае с облачными сервисами APT29 нередко использует для доступа токены. Обход многофакторной аутентификации нередко осуществляется при помощи атаки MFA bombing с многократно повторяющимися запросами, рассчитанными на усталость жертвы от однотипных уведомлений. Получив доступ к облачному хранилищу компании, участники группировки добавляют к нему новые устройства.
CISA предупредило мигрирующие на облачную инфраструктуру компании об опасности действий APT29. Компании призвали усилить защиту данных, в особенности — максимально усложнить порядок первоначального доступа к облаку.
