CISA предупредило бизнес, что российские хакеры из APT29 сосредоточились на облаках

27.02.2024

Хакеры из группировки APT29, которые ранее фокусировались на поиске и использовании уязвимостей on premise, теперь максимально сконцентрированы на атаках на облачные сервисы. Такое предупреждение выпустило американское Агентство по кибербезопасности и защите инфраструктуры (CISA). В отчете уточняется, что APT29, также известная как Midnight Blizzard, tDukes или Cozy Bear, почти точно является частью российской Службы внешней разведки (СВР).

В CISA пояснили, что ранее APT29 успешно использовали брутфорс (подбор паролей) для взлома сервисных аккаунтов. Последние оказывались более доступны из-за отсутствия за ними реального пользователя и, например, такого варианта защиты, как мультифакторная аутентификация. Еще одна тактика группировки — использование неактивных корпоративных аккаунтов, доступ к которым хакеры получают через процедуру смены паролей.

В случае с облачными сервисами APT29 нередко использует для доступа токены. Обход многофакторной аутентификации нередко осуществляется при помощи атаки MFA bombing с многократно повторяющимися запросами, рассчитанными на усталость жертвы от однотипных уведомлений. Получив доступ к облачному хранилищу компании, участники группировки добавляют к нему новые устройства.

CISA предупредило мигрирующие на облачную инфраструктуру компании об опасности действий APT29. Компании призвали усилить защиту данных, в особенности — максимально усложнить порядок первоначального доступа к облаку.