APT29 kampányok felhő környezetben
Az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (National Cyber Security Centre – NCSC) és nemzetközi partnerei szerint az APT29 egy kiberkémkedő csoport, amely szinte biztosan az orosz titkosszolgálat egyik elemének, az SVR-nek a része. Az Egyesült Államok Nemzetbiztonsági Ügynöksége (NSA), az Egyesült Államok Kiberbiztonsági és Infrastrukturális Biztonsági Ügynöksége (CISA), az Egyesült Államok Kibernetikai Nemzeti Missziós Erő (CNMF), a Szövetségi Nyomozó Iroda (FBI), az Ausztrál Jelentések Igazgatóságának Ausztrál Kiberbiztonsági Központja (ASD’s ACSC), a Kanadai Kiberbiztonsági Központ (CCCS) és az Új-Zélandi Nemzeti Kiberbiztonsági Központ (NCSC) egyetért ezzel az attribúcióval és a közös tanácsadásban közölt részletekkel.
Ez a tanácsadás áttekintést nyújt a szereplő által a felhőkörnyezethez való kezdeti hozzáférés megszerzéséhez alkalmazott TTP-kről, és tanácsokat tartalmaz e tevékenység észlelésére és mérséklésére.
Az NCSC korábban részletesen bemutatta, hogy az SVR szereplői hírszerzési célpontokat céloztak meg kormányzati, agytrösztökkel foglalkozó, egészségügyi és energetikai célpontokat. Most azt figyelte meg, hogy az SVR szereplői kiterjesztették célpontjaikat a légi közlekedésre, az oktatásra, a bűnüldözésre, a helyi és állami tanácsokra, a kormányzati pénzügyi osztályokra és a katonai szervezetekre.
Az NCSC részletesebben ismerteti, hogyan alkalmazkodnak az SVR szereplői ahhoz, hogy folytassák kiberműveleteiket a felhőkörnyezetben hírszerzési céllal. Ezeket a TTP-ket az elmúlt 12 hónapban figyelték meg:
A korábbi SVR-kampányokból kiderül, hogy a szereplők sikeresen alkalmazták a nyers erős (brute force) (T1110) és a jelszószórást (password spray) a szolgáltatási fiókokhoz való hozzáféréshez. Az ilyen típusú fiókokat jellemzően alkalmazások és szolgáltatások futtatására és kezelésére használják. Nincs mögöttük emberi felhasználó, így nem lehet őket könnyen megvédeni többfaktoros hitelesítéssel (MFA), így ezek a fiókok sokkal érzékenyebbek a sikeres feltörésre. A szolgáltatásfiókok gyakran szintén magas privilégiumokkal rendelkeznek, attól függően, hogy milyen alkalmazások és szolgáltatások kezeléséért felelősek. Az ilyen fiókokhoz való hozzáférés megszerzése a fenyegető szereplők számára kiváltságos kezdeti hozzáférést biztosít a hálózathoz, hogy további műveleteket indíthassanak.
Az SVR-kampányok olyan felhasználók nyugvó fiókjait is célba vették, akik már nem dolgoznak az áldozat szervezetnél, de fiókjaik továbbra is a rendszerben maradnak. (T1078.004).
Miután egy incidens során az összes felhasználó jelszavának visszaállítását kikényszerítették, az SVR szereplőit is megfigyelték, amint bejelentkeztek inaktív fiókokba, és követték a jelszó visszaállítására vonatkozó utasításokat. Ez lehetővé tette a szereplő számára, hogy az incidensre válaszoló kilakoltatási tevékenységeket követően visszanyerje a hozzáférést.