Cloud nel mirino degli hacker russi, attacco a Dropbox e Google Drive

Individuata dai ricercatori di Palo Alto Networks la nuova strategia di cyber-spionaggio che sfrutta i servizi sulla “nuvola” per sottrarre dati sensibili a governi e ambasciate. Sotto accusa il gruppo responsabile dell’assalto a Solar Winds e considerato connesso all’Intelligent Service di Mosca 19 Lug 2022 L. O.

E’ il cloud aziendale il nuovo campo di battaglia degli hacker russi. Lo rivelano i ricercatori di Unit 42, unit della società Palo Alto Networks, secondo cui è in atto un’operazione di cyber-spionaggio che sfrutta i servizi cloud, in particolare Dropbox e Google Drive, per sottrarre dati sensibili a obiettivi di alto profilo, come governi e ambasciate. Indice degli argomenti • Chi sono gli hacker russi • Il cloud “camuffa-attacchi” • Come funziona il nuovo trend Chi sono gli hacker russi Al centro dell’indagine di Palo Alto Network il gruppo Cloaked Ursa – noto anche come Apt29, Nobelium e Cozy Bear – collegato all’International Intelligence Service russo, e responsabile di numerosi importanti attacchi informatici, tra cui quello a SolarWinds.

La nuova attività degli hacker arriva sull’onda della spinta ai servizi cloud impressa anche dalla pandemia. Secondo i ricercatori, Cloaked Ursa integra i servizi cloud più diffusi per “camuffarsi” evitando il rilevamento. Il cloud “camuffa-attacchi” L’uso di servizi cloud affidabili e legittimi non è del tutto nuovo per questo gruppo. A conferma di questa tendenza, Unit 42 di Palo Alto Networks ha scoperto che le due campagne più recenti di questo gruppo hanno sfruttato per la prima volta i servizi cloud storage di Google Drive e Dropbox. “La natura onnipresente di questi servizi – fanno sapere i ricercatori – e il fatto che milioni di clienti in tutto il mondo li utilizzino, rendono il loro uso per distribuire malware eccezionalmente preoccupante”. Come funziona il nuovo trend Le nuove campagne sono mirate a obiettivi diplomatici. In particolare, sono state attaccate un’ambasciata straniera in Portogallo e un’ambasciata straniera in Brasile. Gli attacchi iniziano con e-mail di phishing inviate a obiettivi presso le ambasciate europee, “mascherate” da inviti a incontri con ambasciatori, completi di un presunto ordine del giorno allegato come Pdf che in realtà si collega a un account Dropbox gestito dagli aggressori per consegnare Cobalt Strike, strumento di penetrazione utilizzato dagli aggressori. “Gli aggressori continueranno a innovare e trovare modi per eludere il rilevamento per raggiungere i loro obiettivi. L’uso di Google Drive e DropBox è un modo a basso costo per sfruttare applicazioni affidabili – ha detto un ricercatore dell’Unità 42 -. In parole povere, significa che puoi facilmente ottenere gratuitamente un numero X di account Google e utilizzarlo per raccogliere informazioni e ospitare malware”. L’unità 42 ha avvisato sia Dropbox che Google dell’abuso dei loro servizi e sono state intraprese azioni contro l’utilizzo degli account come parte di attacchi.

dropbox