أحدثت بيئة مكان العمل بعد الوباء تغييرات كبيرة في مشهد أمن الشبكة. بدأت المؤسسات في الاعتماد بشكل أكبر على حلول التخزين السحابي ، مثل Google Drive و Dropbox ، لتنفيذ عملياتها اليومية.

توفر خدمات التخزين السحابي طريقة بسيطة وآمنة لتلبية احتياجات القوى العاملة عن بُعد. لكن ليست الشركات والموظفين فقط هم الذين يستفيدون من هذه الخدمات. يجد المتسللون طرقًا للاستفادة من الثقة في الخدمات السحابية وجعل اكتشاف هجماتهم أمرًا بالغ الصعوبة.

كيف يحدث ذلك؟ هيا نكتشف!

كيف يستخدم المتسللون خدمات التخزين السحابية لتجنب الاكتشاف؟

على الرغم من أن خدمات التخزين السحابي المشفرة يثق بها المستخدمون عادةً ، إلا أنه قد يكون من الصعب للغاية على الشركات اكتشاف النشاط الضار. في منتصف يوليو 2022 ، قام الباحثون في شبكات بالو ألتو اكتشف نشاطًا ضارًا يستفيد من الخدمات السحابية بواسطة مجموعة تسمى Cloaked Ursa - تُعرف أيضًا باسم APT29 و Cozy Bear.

يُعتقد أن المجموعة لها صلات بالحكومة الروسية وهي مسؤولة عن الهجمات الإلكترونية ضد اللجنة الوطنية الديمقراطية الأمريكية (DNC) و 2020. اختراق سلسلة التوريد SolarWinds. كما أنها تشارك في العديد من حملات التجسس الإلكتروني ضد المسؤولين الحكوميين والسفارات في جميع أنحاء العالم.

instagram viewer

تتضمن حملتها التالية استخدام حلول التخزين السحابية المشروعة مثل Google Drive و Dropbox لحماية أنشطتها. إليكم كيفية تنفيذ المجموعة لهذه الهجمات.

طريقة عمل الهجوم

يبدأ الهجوم بإرسال رسائل بريد إلكتروني تصيدية إلى أهداف بارزة في السفارات الأوروبية. إنه يتنكر في شكل دعوات للاجتماعات مع السفراء ويأتي مع أجندة مفترضة في مرفق PDF ضار.

يحتوي المرفق على ملف HTML ضار (EnvyScout) المستضافة في Dropbox والتي من شأنها تسهيل تسليم الملفات الضارة الأخرى ، بما في ذلك حمولة Cobalt Strike إلى جهاز المستخدم.

يتوقع الباحثون أن المستلم لم يتمكن في البداية من الوصول إلى الملف في Dropbox ، ربما بسبب السياسات الحكومية التقييدية على تطبيقات الطرف الثالث. ومع ذلك ، سارع المهاجمون إلى الإرسال بريد إلكتروني ثان للتصيد الاحتيالي مع ارتباط إلى ملف HTML الضار.

بدلاً من استخدام Dropbox ، يعتمد المتسللون الآن على خدمات تخزين Google Drive لإخفاء أفعالهم وتسليم الحمولات إلى البيئة المستهدفة. هذه المرة ، لم يتم حظر الضربة.

لماذا لم يتم حظر التهديد؟

يبدو أنه نظرًا لأن العديد من أماكن العمل تعتمد الآن على تطبيقات Google ، بما في ذلك Drive ، إلى إجراء عملياتهم اليومية ، وعادة ما يُنظر إلى حظر هذه الخدمات على أنه غير فعال إنتاجية.

إن الطبيعة الشاملة للخدمات السحابية وثقة العملاء بها تجعل هذا التهديد الجديد صعبًا للغاية أو حتى من المستحيل اكتشافه.

ما هو الهدف من الهجوم؟

مثل العديد من الهجمات الإلكترونية ، يبدو أن القصد كان استخدام البرامج الضارة وإنشاء باب خلفي على شبكة مصابة لسرقة البيانات الحساسة.

نبهت الوحدة 42 في شبكة Palo Alto Network كلاً من Google Drive و Dropbox إلى إساءة استخدام خدماتهما. تم الإبلاغ عن اتخاذ الإجراء المناسب ضد الحسابات المتورطة في النشاط الضار.

كيفية الحماية من الهجمات الإلكترونية السحابية

نظرًا لأن معظم أدوات مكافحة البرامج الضارة والكشف تركز بشكل أكبر على الملفات التي تم تنزيلها بدلاً من الملفات الموجودة في السحابة ، يتحول المتسللون الآن إلى خدمات التخزين السحابية لتجنب الكشف. على الرغم من صعوبة اكتشاف محاولات التصيد الاحتيالي هذه ، إلا أن هناك خطوات يمكنك اتخاذها لتقليل المخاطر.

  • قم بتمكين المصادقة متعددة العوامل لحساباتك: حتى إذا تم الحصول على بيانات اعتماد المستخدم بهذه الطريقة ، فسيظل المتسلل يطلب الوصول إلى الجهاز الذي يقوم بالتحقق متعدد العوامل أيضًا.
  • تطبيق امتياز أقل مبدأ: يحتاج حساب المستخدم أو الجهاز فقط إلى وصول كافٍ ضروري لحالة معينة.
  • إبطال الوصول المفرط إلى المعلومات الحساسة: بمجرد منح المستخدم حق الوصول إلى تطبيق ما ، تذكر إلغاء هذه الامتيازات عندما لا تكون هناك حاجة إلى الوصول.

ما هي الوجبات الجاهزة الرئيسية؟

لقد كانت خدمات التخزين السحابي بمثابة تغيير هائل في قواعد اللعبة بالنسبة للمؤسسات لتحسين الموارد وتبسيط العمليات وتوفير الوقت وإخراج بعض المسؤوليات الأمنية من لوحاتهم.

ولكن كما يتضح من مثل هذه الهجمات ، بدأ المتسللون في الاستفادة من البنية التحتية السحابية لشن هجمات يصعب اكتشافها. ربما تمت استضافة الملف الضار في Microsoft OneDrive أو Amazon AWS أو أي خدمة تخزين سحابية أخرى.

يعد فهم متجه التهديد الجديد هذا أمرًا مهمًا ، ولكن الجزء الصعب هو وضع ضوابط لاكتشافه والاستجابة له. ويبدو أنه حتى اللاعبين المهيمنين في التكنولوجيا يعانون من ذلك.