L’alleanza di intelligence dei Five Eyes (FVEY) ha lanciato un avvertimento riguardo al fatto che gli hacker russi del servizio di intelligence estero (SVR), noti come APT29, stanno orientando le loro strategie verso attacchi mirati ai servizi cloud delle loro vittime. Questo cambiamento di tattica segue una serie di violazioni significative, tra cui l’attacco alla catena di approvvigionamento di SolarWinds, che ha compromesso molteplici agenzie federali statunitensi oltre tre anni fa.
Attacchi ai Servizi Cloud
L’adattamento degli hacker alle moderne infrastrutture cloud evidenzia una mossa strategica verso l’exploitazione di sistemi basati sul cloud piuttosto che su vulnerabilità software in reti on-premise. Utilizzando credenziali di account di servizio compromesse attraverso attacchi di brute force o password spraying, conti dormienti non rimossi, token di accesso rubati, e bypassando l’autenticazione multi-fattore attraverso la fatigue di MFA, gli hacker stanno guadagnando accesso agli ambienti cloud delle loro vittime.
Vettori di breccia iniziali e malware sofisticati
Una volta ottenuto l’accesso, gli hacker utilizzano strumenti avanzati come il malware MagicWeb, che consente loro di autenticarsi come qualsiasi utente all’interno di una rete compromessa, per evitare di essere rilevati. Questi attacchi sono principalmente diretti verso organizzazioni governative e critiche in Europa, Stati Uniti e Asia.
Raccomandazioni per la difesa
Per contrastare questi attacchi, i difensori di rete sono invitati a implementare l’autenticazione multi-fattore abbinata a password robuste, applicare il principio del minimo privilegio a tutti gli account di sistema e di servizio, creare account di servizio canarino per rilevare le compromissioni più rapidamente e ridurre i tempi di sessione per bloccare l’uso di token di sessione rubati. È inoltre consigliato limitare l’iscrizione di nuovi dispositivi solo a quelli autorizzati e monitorare gli indicatori di compromissione che generano il minor numero di falsi positivi.
La trasformazione delle strategie degli hacker verso le infrastrutture cloud sottolinea l’importanza per le organizzazioni di adottare misure di sicurezza proattive per proteggere contro questi nuovi vettori di attacco. Seguendo le mitigazioni delineate negli avvisi congiunti, le organizzazioni possono rafforzare la loro posizione difensiva contro queste minacce emergenti.