أصدرت وكالات الأمن السيبراني والاستخبارات من خمس دول تقريرًا استشاريًا مشتركًا يكشف بالتفصيل عن تكتيكات متطورة لممثل تهديد روسي يُعرف باسم APT29 والذي يُدعمه الحكومة.
تم تقييم مجموعة من القراصنة، المعروفة بأسماء BlueBravo وCloaked Ursa وCozy Bear وMidnight Blizzard (المعروفة سابقًا باسم Nobleium) وThe Dukes، كجهاز تابع لجهاز المخابرات الأجنبية (SVR) التابع للاتحاد الروسي.
شهدت مجموعة التجسس الإلكتروني، والتي سابقًا كانت مرتبطة بانتهاك سلسلة التوريد لبرنامج SolarWinds، اهتمامًا متزايدًا في الفترة الأخيرة بسبب استهدافها لشركات مثل Microsoft وHewlett Packard Enterprise (HPE) ومؤسسات أخرى بهدف تعزيز أهدافها الاستراتيجية.
مع الاستمرار في تحديث الأنظمة والانتقال إلى البنية التحتية السحابية، تتكيف SVR مع هذه التغييرات في بيئة التشغيل، وفقاً للتقرير الأمني.
وتشمل هذه :
- الوصول إلى البنية التحتية السحابية عبر الخدمات الغير نشطة والحسابات معرض للخطر من خلال هجمات القوة الغاشمة واختراق كلمات المرور، ويجب تجنب استغلال نقاط الضعف في البرامج على الشبكات المحلية.
- استخدام الرموز الخاصة للوصول إلى حسابات الضحايا دون الحاجة إلى إدخال كلمة مرور.
- الاستفادة من تقنيات رش كلمات المرور واستخدام بيانات الاعتماد لمراقبة الحسابات الشخصية، واستخدام الهجوم الفوري لتجاوز متطلبات المصادقة متعددة العوامل (MFA)، ثم تسجيل أجهزتهم الخاصة للوصول إلى الشبكة.
- زيادة صعوبة التمييز بين الاتصالات الضارة والمستخدمين العاديين عن طريق استخدام وكلاء محليين لتحويل حركة المرور الضارة لتبدو كما لو كانت قادمة من عناوين IP ضمن نطاقات مزودي خدمة الإنترنت المستخدمة لعملاء النطاق العريض وإخفاء هويتهم الحقيقية.
وقالت الوكالات: "بالنسبة للمؤسسات التي انتقلت إلى البنية التحتية السحابية، يجب أن يكون الدفاع الأول ضد جهة فاعلة مثل SVR متمثلا في حماية من TTPs الخاصة بـ SVR للوصول الأولي". "عندما يحصل SVR على الوصول الأولي، يمكن للممثل نشر قدرات ما بعد التسوية المتطورة مثل MagicWeb."