महामारी के बाद के कार्यस्थल के माहौल ने नेटवर्क सुरक्षा परिदृश्य में महत्वपूर्ण बदलाव लाए हैं। संगठनों ने अपने दिन-प्रतिदिन के कार्यों को करने के लिए Google ड्राइव और ड्रॉपबॉक्स जैसे क्लाउड स्टोरेज समाधानों पर अधिक भरोसा करना शुरू कर दिया है।
क्लाउड स्टोरेज सेवाएं दूरस्थ कार्यबल की जरूरतों को पूरा करने का एक सरल और सुरक्षित तरीका प्रदान करती हैं। लेकिन यह केवल व्यवसाय और कर्मचारी ही नहीं हैं जो इन सेवाओं का लाभ उठा रहे हैं। हैकर्स क्लाउड सेवाओं में विश्वास का लाभ उठाने के तरीके खोज रहे हैं और उनके हमलों का पता लगाना बेहद मुश्किल है।
यह कैसे होता है? चलो पता करते हैं!
पता लगाने से बचने के लिए हैकर्स क्लाउड स्टोरेज सेवाओं का उपयोग कैसे करते हैं?
हालांकि एन्क्रिप्टेड क्लाउड स्टोरेज सेवाओं पर आमतौर पर उपयोगकर्ताओं द्वारा भरोसा किया जाता है, लेकिन कंपनियों के लिए दुर्भावनापूर्ण गतिविधि का पता लगाना बेहद मुश्किल हो सकता है। जुलाई 2022 के मध्य में, शोधकर्ताओं ने पालो ऑल्टो नेटवर्क क्लोक्ड उर्सा नामक एक समूह द्वारा क्लाउड सेवाओं का लाभ उठाने वाली दुर्भावनापूर्ण गतिविधि की खोज की - जिसे APT29 और Cozy Bear के नाम से भी जाना जाता है।
माना जाता है कि इस समूह के रूसी सरकार से संबंध हैं और यह यूएस डेमोक्रेटिक नेशनल कमेटी (DNC) और 2020 के खिलाफ साइबर हमले के लिए जिम्मेदार है। सोलरविंड्स सप्लाई चेन हैक. यह दुनिया भर के सरकारी अधिकारियों और दूतावासों के खिलाफ कई साइबर जासूसी अभियानों में भी शामिल है।
इसके अगले अभियान में उनकी गतिविधियों को ढालने के लिए वैध क्लाउड स्टोरेज समाधान जैसे Google ड्राइव और ड्रॉपबॉक्स का उपयोग करना शामिल है। यहां बताया गया है कि समूह इन हमलों को कैसे अंजाम देता है।
हमले के तौर-तरीके
हमले की शुरुआत फ़िशिंग ईमेल से होती है जो यूरोपीय दूतावासों के हाई प्रोफाइल लक्ष्यों को भेजे जाते हैं। यह राजदूतों के साथ बैठकों के आमंत्रण के रूप में सामने आता है और दुर्भावनापूर्ण पीडीएफ अटैचमेंट में एक कथित एजेंडा के साथ आता है।
अनुलग्नक में एक दुर्भावनापूर्ण HTML फ़ाइल है (ईर्ष्या स्काउट) ड्रॉपबॉक्स में होस्ट किया गया है जो उपयोगकर्ता के डिवाइस पर कोबाल्ट स्ट्राइक पेलोड सहित अन्य दुर्भावनापूर्ण फ़ाइलों की डिलीवरी की सुविधा प्रदान करेगा।
शोधकर्ता अनुमान लगाते हैं कि प्राप्तकर्ता शुरू में ड्रॉपबॉक्स में फ़ाइल तक नहीं पहुंच सका, शायद तीसरे पक्ष के अनुप्रयोगों पर प्रतिबंधात्मक सरकारी नीतियों के कारण। हालांकि, हमलावरों को भेजने की जल्दी थी एक दूसरा भाला फ़िशिंग ईमेल दुर्भावनापूर्ण HTML फ़ाइल के लिंक के साथ।
ड्रॉपबॉक्स का उपयोग करने के बजाय, हैकर्स अब अपने कार्यों को छिपाने और लक्षित वातावरण में पेलोड वितरित करने के लिए Google ड्राइव स्टोरेज सेवाओं पर भरोसा करते हैं। इस बार, हड़ताल अवरुद्ध नहीं थी।
धमकी को ब्लॉक क्यों नहीं किया गया?
ऐसा प्रतीत होता है कि चूंकि कई कार्यस्थल अब डिस्क सहित Google अनुप्रयोगों पर निर्भर हैं, इसलिए अपने दिन-प्रतिदिन के कार्यों का संचालन करना, इन सेवाओं को अवरुद्ध करना आमतौर पर अक्षम के रूप में देखा जाता है उत्पादकता।
क्लाउड सेवाओं की सर्वव्यापी प्रकृति और उन पर ग्राहकों का भरोसा इस नए खतरे को बेहद चुनौतीपूर्ण या पता लगाना असंभव बना देता है।
क्या है हमले का मकसद?
कई साइबर हमलों की तरह, ऐसा प्रतीत होता है कि संवेदनशील डेटा चोरी करने के लिए मैलवेयर का उपयोग करने और संक्रमित नेटवर्क पर पिछले दरवाजे बनाने का इरादा था।
पालो ऑल्टो नेटवर्क में यूनिट 42 ने Google ड्राइव और ड्रॉपबॉक्स दोनों को उनकी सेवाओं के दुरुपयोग के लिए सतर्क कर दिया है। यह बताया गया है कि दुर्भावनापूर्ण गतिविधि में शामिल खातों के खिलाफ उचित कार्रवाई की गई थी।
क्लाउड साइबर हमले से बचाव कैसे करें
चूंकि अधिकांश एंटी-मैलवेयर और डिटेक्शन टूल क्लाउड में फ़ाइलों के बजाय डाउनलोड की गई फ़ाइलों पर अधिक ध्यान केंद्रित करते हैं, इसलिए हैकर्स अब पता लगाने से बचने के लिए क्लाउड स्टोरेज सेवाओं की ओर रुख कर रहे हैं। हालांकि ऐसे फ़िशिंग प्रयासों का पता लगाना आसान नहीं है, फिर भी आप जोखिमों को कम करने के लिए कुछ कदम उठा सकते हैं।
- अपने खातों के लिए बहु-कारक प्रमाणीकरण सक्षम करें: भले ही उपयोगकर्ता क्रेडेंशियल इस तरह से प्राप्त किए गए हों, फिर भी हैकर को उस डिवाइस तक पहुंच की आवश्यकता होगी जो बहु-कारक सत्यापन भी करता है।
- लागू करें कम से कम सिद्धांत का विशेषाधिकार: किसी उपयोगकर्ता खाते या डिवाइस को केवल एक विशिष्ट मामले के लिए आवश्यक पर्याप्त पहुंच की आवश्यकता होती है।
- संवेदनशील जानकारी तक अत्यधिक पहुंच निरस्त करें: एक बार जब उपयोगकर्ता को किसी एप्लिकेशन तक पहुंच प्रदान की जाती है, तो उन विशेषाधिकारों को रद्द करना याद रखें जब पहुंच की आवश्यकता नहीं रह जाती है।
कुंजी टेकअवे क्या है?
क्लाउड स्टोरेज सेवाएं संगठनों के लिए संसाधनों को अनुकूलित करने, संचालन को सुव्यवस्थित करने, समय बचाने और कुछ सुरक्षा जिम्मेदारियों को अपनी प्लेट से दूर करने के लिए एक बहुत बड़ा गेम चेंजर रही हैं।
लेकिन जैसा कि इस तरह के हमलों से स्पष्ट होता है, हैकर्स ने क्लाउड इन्फ्रास्ट्रक्चर का उपयोग ऐसे क्राफ्ट हमलों के लिए करना शुरू कर दिया है जिनका पता लगाना कठिन है। दुर्भावनापूर्ण फ़ाइल को Microsoft OneDrive, Amazon AWS, या किसी अन्य क्लाउड स्टोरेज सेवा में होस्ट किया जा सकता था।
इस नए खतरे के वेक्टर को समझना महत्वपूर्ण है, लेकिन कठिन हिस्सा इसका पता लगाने और इसका जवाब देने के लिए नियंत्रण स्थापित कर रहा है। और ऐसा प्रतीत होता है कि टेक के प्रमुख खिलाड़ी भी इससे जूझ रहे हैं।
