L'environnement de travail post-pandémique a apporté des changements importants au paysage de la sécurité des réseaux. Les organisations ont commencé à s'appuyer davantage sur des solutions de stockage en nuage, comme Google Drive et Dropbox, pour mener à bien leurs opérations quotidiennes.
Les services de stockage dans le cloud offrent un moyen simple et sécurisé de répondre aux besoins d'une main-d'œuvre distante. Mais ce ne sont pas seulement les entreprises et les employés qui profitent de ces services. Les pirates trouvent des moyens de tirer parti de la confiance dans les services cloud et rendent leurs attaques extrêmement difficiles à détecter.
Comment ça se passe? Découvrons-le!
Comment les pirates utilisent-ils les services de stockage en nuage pour éviter d'être détectés ?
Bien que les utilisateurs fassent généralement confiance aux services de stockage en nuage cryptés, il peut être extrêmement difficile pour les entreprises de détecter les activités malveillantes. Mi-juillet 2022, des chercheurs du
Réseaux de Palo Alto a découvert une activité malveillante exploitant les services cloud par un groupe appelé Cloaked Ursa, également connu sous le nom d'APT29 et Cozy Bear.On pense que le groupe a des liens avec le gouvernement russe et est responsable de cyberattaques contre le Comité national démocrate américain (DNC) et le 2020 Piratage de la chaîne d'approvisionnement de SolarWinds. Il est également impliqué dans plusieurs campagnes de cyberespionnage contre des responsables gouvernementaux et des ambassades du monde entier.
Sa prochaine campagne consiste à utiliser des solutions de stockage en nuage légitimes comme Google Drive et Dropbox pour protéger leurs activités. Voici comment le groupe mène ces attaques.
Le mode opératoire de l'attaque
L'attaque commence par des e-mails de phishing envoyés à des cibles de haut niveau dans les ambassades européennes. Il se fait passer pour des invitations à des réunions avec des ambassadeurs et est accompagné d'un ordre du jour supposé dans une pièce jointe PDF malveillante.
La pièce jointe contient un fichier HTML malveillant (EnvyScout) hébergé dans Dropbox qui faciliterait la livraison d'autres fichiers malveillants, y compris une charge utile Cobalt Strike sur l'appareil de l'utilisateur.
Les chercheurs supposent que le destinataire ne pouvait initialement pas accéder au fichier dans Dropbox, probablement en raison de politiques gouvernementales restrictives sur les applications tierces. Cependant, les assaillants n'ont pas tardé à envoyer un deuxième e-mail de harponnage avec un lien vers le fichier HTML malveillant.
Plutôt que d'utiliser Dropbox, les pirates s'appuient désormais sur les services de stockage Google Drive pour masquer leurs actions et fournir des charges utiles à l'environnement cible. Cette fois, la grève n'a pas été bloquée.
Pourquoi la menace n'a-t-elle pas été bloquée ?
Il semble que, puisque de nombreux lieux de travail s'appuient désormais sur les applications Google, y compris Drive, pour mener leurs opérations quotidiennes, le blocage de ces services est généralement considéré comme inefficace pour productivité.
La nature omniprésente des services cloud et la confiance des clients en eux rendent cette nouvelle menace extrêmement difficile, voire impossible à détecter.
Quel est le but de l'attaque ?
Comme de nombreuses cyberattaques, il semble que l'intention était d'utiliser des logiciels malveillants et de créer une porte dérobée sur un réseau infecté pour voler des données sensibles.
L'unité 42 du réseau Palo Alto a alerté Google Drive et Dropbox de l'abus de leurs services. Il est signalé que des mesures appropriées ont été prises contre les comptes impliqués dans l'activité malveillante.
Comment se protéger contre les cyberattaques cloud
Étant donné que la plupart des outils anti-malware et de détection se concentrent davantage sur les fichiers téléchargés que sur les fichiers dans le cloud, les pirates se tournent désormais vers les services de stockage cloud pour éviter la détection. Bien que de telles tentatives de phishing ne soient pas faciles à détecter, vous pouvez prendre certaines mesures pour atténuer les risques.
- Activez l'authentification multifacteur pour vos comptes : Même si les informations d'identification de l'utilisateur sont obtenues de cette manière, le pirate aurait toujours besoin d'accéder à l'appareil qui effectue également la validation multifacteur.
- Appliquer le Privilège du moindre principe: Un compte d'utilisateur ou un appareil n'a besoin que d'un accès suffisant pour un cas spécifique.
- Révoquer l'accès excessif aux informations sensibles : Une fois qu'un utilisateur a obtenu l'accès à une application, n'oubliez pas de révoquer ces privilèges lorsque l'accès n'est plus nécessaire.
Quelle est la clé à emporter ?
Les services de stockage dans le cloud ont changé la donne pour les organisations afin d'optimiser les ressources, de rationaliser les opérations, de gagner du temps et de se décharger de certaines responsabilités en matière de sécurité.
Mais comme il ressort clairement d'attaques comme celles-ci, les pirates ont commencé à tirer parti de l'infrastructure cloud pour concevoir des attaques plus difficiles à détecter. Le fichier malveillant aurait pu être hébergé sur Microsoft OneDrive, Amazon AWS ou tout autre service de stockage en nuage.
Comprendre ce nouveau vecteur de menace est important, mais le plus difficile est de mettre en place des contrôles pour le détecter et y répondre. Et il semble que même les acteurs dominants de la technologie se débattent avec cela.