Ρώσοι χάκερ στοχεύουν το DropBox και το Google Drive

Του Στάθη Ασπιώτη

Χάκερ της Ρωσίας εκμεταλλεύονται αξιόπιστες υπηρεσίες cloud, συμπεριλαμβανομένων των DropBox και Google Drive για να «σερβίρουν» κακόβουλο λογισμικό σε επιχειρήσεις και κυβερνήσεις, σύμφωνα με νέα έρευνα.

Το Cloaked Ursula – γνωστό και ως το APT29 ή Cozy Bear που συνδέεται με τη ρωσική κυβέρνηση – χρησιμοποιεί όλο και περισσότερο δημοφιλείς υπηρεσίες αποθήκευσης στο διαδίκτυο, καθώς αυτή η μέθοδος καθιστά δύσκολο τον εντοπισμό και την πρόληψη επιθέσεων, έγραψαν ερευνητές στην Palo Alto Networks Unit 42.

Πιστεύεται ότι οι χάκερ στόχευσαν πολλές δυτικές διπλωματικές αποστολές και ξένες πρεσβείες, μεταξύ Μαΐου και Ιουνίου 2022. Οι πρόσφατες εκστρατείες καλύφθηκαν ως ατζέντα για μια επερχόμενη συνάντηση με έναν πρέσβη. Ωστόσο, τα έγγραφα phishing περιείχαν σύνδεσμο προς ένα κακόβουλο αρχείο HTML που χρησίμευε ως dropper για πρόσθετα κακόβουλα αρχεία προς το δίκτυο προορισμού, συμπεριλαμβανομένου ενός Cobalt Strike payload.

Η Palo Alto Networks αποκάλυψε τη δραστηριότητα στην Google και την DropBox, οι οποίες έχουν λάβει μέτρα για να την αποκλείσουν. Ωστόσο, οι ερευνητές της Palo Alto Networks Unit 42 έχουν προειδοποιήσει τους οργανισμούς και τις κυβερνήσεις να βρίσκονται σε υψηλή ετοιμότητα. «Υπό το πρίσμα των νέων τακτικών του APT 29, οι οργανισμοί θα πρέπει να αμφιβάλλουν για τις ικανότητές τους να εντοπίζουν, να επιθεωρούν και να σταματούν την ανεπιθύμητη κίνηση σε νόμιμους παρόχους αποθήκευσης cloud».

Οι ερευνητές ενημέρωσαν ότι αυτό συμβαίνει γιατί, όταν η χρήση αξιόπιστων υπηρεσιών cloud συνδυάζεται με κρυπτογράφηση, καθίσταται «εξαιρετικά δύσκολο» για τους οργανισμούς να ανιχνεύσουν κακόβουλη δραστηριότητα.

Τεύχος 116