Beş Göz ülkelerinin siber güvenlik ve istihbarat teşkilatları, Rus devleti destekli tehdit aktörünün gelişen taktiklerini detaylandıran ortak bir danışma belgesi yayınladı. APT29.
BlueBravo, Cloaked Ursa, Cozy Bear, Midnight Blizzard (eski adıyla Nobelium) ve The Dukes olarak da bilinen bilgisayar korsanlığı ekibinin, Rusya Federasyonu Dış İstihbarat Servisi’ne (SVR) bağlı olduğu değerlendiriliyor.
Daha önce SolarWinds yazılımının tedarik zinciri ihlaline atfedilen siber casusluk grubu, son aylarda stratejik hedeflerini ilerletmek amacıyla Microsoft, Hewlett Packard Enterprise (HPE) ve diğer kuruluşları hedef aldığı için dikkatleri üzerine çekti.
“Kuruluşlar sistemlerini modernleştirmeye ve bulut tabanlı altyapıya geçmeye devam ettikçe SVR, işletim ortamındaki bu değişikliklere uyum sağladı.” güvenlik bülteni.
Bunlar şunları içerir:
- Kaba kuvvet ve parola püskürtme saldırıları aracılığıyla hizmet ve hareketsiz hesaplar aracılığıyla bulut altyapısına erişim elde etme, şirket içi ağlardaki yazılım açıklarından yararlanmanın önüne geçme
- Kurbanların hesaplarına şifreye ihtiyaç duymadan erişmek için jeton kullanma
- Kişisel hesapların kontrolünü ele geçirmek için parola püskürtme ve kimlik bilgilerinin yeniden kullanılması tekniklerinden faydalanma, çok faktörlü kimlik doğrulama (MFA) gereksinimlerini atlamak için hızlı bombalamayı kullanma ve ardından ağa erişim kazanmak için kendi cihazlarını kaydetme
- Kötü amaçlı trafiğin, konut geniş bant müşterileri için kullanılan internet servis sağlayıcı (ISP) aralıklarındaki IP adreslerinden kaynaklanıyormuş gibi görünmesini sağlamak ve gerçek kökenlerini gizlemek için yerleşik proxy’ler kullanarak, kötü niyetli bağlantıları tipik kullanıcılardan ayırt etmeyi zorlaştırmak
Ajanslar, “Bulut altyapısına geçen kuruluşlar için, SVR gibi bir aktöre karşı ilk savunma hattı, ilk erişim için SVR’nin TTP’lerine karşı koruma sağlamak olmalıdır” dedi. “SVR ilk erişimi elde ettiğinde, aktör MagicWeb gibi son derece gelişmiş uzlaşma sonrası yetenekleri kullanma yeteneğine sahip oluyor.”
