CYBERSECURITY

Cloud nel mirino degli hacker russi, attacco a Dropbox e Google Drive

Individuata dai ricercatori di Palo Alto Networks la nuova strategia di cyber-spionaggio che sfrutta i servizi sulla “nuvola” per sottrarre dati sensibili a governi e ambasciate. Sotto accusa il gruppo responsabile dell’assalto a Solar Winds e considerato connesso all’Intelligent Service di Mosca

19 Lug 2022

L. O.

cloud-computing

E’ il cloud aziendale il nuovo campo di battaglia degli hacker russi. Lo rivelano i ricercatori di Unit 42, unit della società Palo Alto Networks, secondo cui è in atto un’operazione di cyber-spionaggio che sfrutta i servizi cloud, in particolare Dropbox e Google Drive, per sottrarre dati sensibili a obiettivi di alto profilo, come governi e ambasciate.

Chi sono gli hacker russi

Al centro dell’indagine di Palo Alto Network il gruppo Cloaked Ursa – noto anche come Apt29, Nobelium e Cozy Bear – collegato all’International Intelligence Service russo, e responsabile di numerosi importanti attacchi informatici, tra cui quello a SolarWinds.

WHITEPAPER
Nuovi attacchi informatici VS 3 nuovi modelli di sicurezza: scoprili!
Finanza/Assicurazioni
Sicurezza

La nuova attività degli hacker arriva sull’onda della spinta ai servizi cloud impressa anche dalla pandemia. Secondo i ricercatori, Cloaked Ursa integra i servizi cloud più diffusi per “camuffarsi” evitando il rilevamento.

Il cloud “camuffa-attacchi”

L’uso di servizi cloud affidabili e legittimi non è del tutto nuovo per questo gruppo. A conferma di questa tendenza, Unit 42 di Palo Alto Networks ha scoperto che le due campagne più recenti di questo gruppo hanno sfruttato per la prima volta i servizi cloud storage di Google Drive e Dropbox.

“La natura onnipresente di questi servizi – fanno sapere i ricercatori – e il fatto che milioni di clienti in tutto il mondo li utilizzino, rendono il loro uso per distribuire malware eccezionalmente preoccupante”.

Come funziona il nuovo trend

Le nuove campagne sono mirate a obiettivi diplomatici. In particolare, sono state attaccate un’ambasciata straniera in Portogallo e un’ambasciata straniera in Brasile.

Gli attacchi iniziano con e-mail di phishing inviate a obiettivi presso le ambasciate europee, “mascherate” da inviti a incontri con ambasciatori, completi di un presunto ordine del giorno allegato come Pdf che in realtà si collega a un account Dropbox gestito dagli aggressori per consegnare Cobalt Strike, strumento di penetrazione utilizzato dagli aggressori.

“Gli aggressori continueranno a innovare e trovare modi per eludere il rilevamento per raggiungere i loro obiettivi. L’uso di Google Drive e DropBox è un modo a basso costo per sfruttare applicazioni affidabili – ha detto un ricercatore dell’Unità 42 -. In parole povere, significa che puoi facilmente ottenere gratuitamente un numero X di account Google e utilizzarlo per raccogliere informazioni e ospitare malware”.

L’unità 42 ha avvisato sia Dropbox che Google dell’abuso dei loro servizi e sono state intraprese azioni contro l’utilizzo degli account come parte di attacchi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5