Lingkungan tempat kerja pascapandemi telah membawa perubahan signifikan pada lanskap keamanan jaringan. Organisasi mulai lebih mengandalkan solusi penyimpanan cloud, seperti Google Drive dan Dropbox, untuk menjalankan operasi mereka sehari-hari.

Layanan penyimpanan cloud menyediakan cara sederhana dan aman untuk memenuhi kebutuhan tenaga kerja jarak jauh. Namun bukan hanya bisnis dan karyawan yang memanfaatkan layanan ini. Peretas menemukan cara untuk meningkatkan kepercayaan pada layanan cloud dan membuat serangan mereka sangat sulit dideteksi.

Bagaimana hal itu terjadi? Mari kita cari tahu!

Bagaimana Peretas Menggunakan Layanan Penyimpanan Cloud untuk Menghindari Deteksi?

Meskipun layanan penyimpanan cloud terenkripsi biasanya dipercaya oleh pengguna, bisa sangat sulit bagi perusahaan untuk mendeteksi aktivitas berbahaya. Pada pertengahan Juli 2022, para peneliti di Jaringan Palo Alto menemukan aktivitas jahat yang memanfaatkan layanan cloud oleh grup bernama Cloaked Ursa—juga dikenal sebagai APT29 dan Cozy Bear.

instagram viewer

Kelompok ini diyakini memiliki koneksi ke pemerintah Rusia dan bertanggung jawab atas serangan siber terhadap Komite Nasional Demokrat AS (DNC) dan Partai Demokrat 2020. Retas rantai pasokan SolarWinds. Ini juga terlibat dalam beberapa kampanye spionase dunia maya terhadap pejabat pemerintah dan kedutaan besar di seluruh dunia.

Kampanye berikutnya melibatkan penggunaan solusi penyimpanan cloud yang sah seperti Google Drive dan Dropbox untuk melindungi aktivitas mereka. Berikut adalah cara kelompok melakukan serangan tersebut.

Modus Operandi Serangan

Serangan dimulai dengan email phishing yang dikirim ke target profil tinggi di kedutaan besar Eropa. Itu menyamar sebagai undangan ke pertemuan dengan duta besar dan dilengkapi dengan agenda yang seharusnya dalam lampiran PDF berbahaya.

Lampiran berisi file HTML berbahaya (Pramuka iri) yang dihosting di Dropbox yang akan memfasilitasi pengiriman file berbahaya lainnya, termasuk muatan Cobalt Strike ke perangkat pengguna.

Peneliti berspekulasi bahwa penerima awalnya tidak dapat mengakses file di Dropbox, mungkin karena kebijakan pemerintah yang membatasi aplikasi pihak ketiga. Namun, para penyerang dengan cepat mengirim email spear phishing kedua dengan tautan ke file HTML berbahaya.

Alih-alih menggunakan Dropbox, para peretas sekarang mengandalkan layanan penyimpanan Google Drive untuk menyembunyikan tindakan mereka dan mengirimkan muatan ke lingkungan target. Kali ini, serangan itu tidak diblokir.

Mengapa ancaman tidak diblokir?

Tampaknya karena banyak tempat kerja sekarang mengandalkan aplikasi Google, termasuk Drive, untuk melakukan operasi sehari-hari, memblokir layanan ini biasanya dianggap tidak efisien untuk produktifitas.

Sifat layanan cloud yang ada di mana-mana dan kepercayaan pelanggan terhadapnya membuat ancaman baru ini sangat menantang atau bahkan tidak mungkin dideteksi.

Apa Tujuan Serangan?

Seperti banyak serangan siber, tampaknya tujuannya adalah untuk menggunakan malware dan membuat pintu belakang ke jaringan yang terinfeksi untuk mencuri data sensitif.

Unit 42 di Jaringan Palo Alto telah memperingatkan Google Drive dan Dropbox tentang penyalahgunaan layanan mereka. Dilaporkan bahwa tindakan yang tepat telah diambil terhadap akun yang terlibat dalam aktivitas berbahaya tersebut.

Cara Melindungi Terhadap Serangan Cyber ​​Cloud

Karena sebagian besar alat anti-malware dan deteksi lebih fokus pada file yang diunduh daripada file di cloud, peretas kini beralih ke layanan penyimpanan cloud untuk menghindari deteksi. Meskipun upaya phishing seperti itu tidak mudah dideteksi, ada beberapa langkah yang dapat Anda ambil untuk mengurangi risikonya.

  • Aktifkan otentikasi multi-faktor untuk akun Anda: Bahkan jika kredensial pengguna diperoleh dengan cara ini, peretas masih memerlukan akses ke perangkat yang melakukan validasi multi-faktor juga.
  • Terapkan Keistimewaan Prinsip Terkecil: Akun pengguna atau perangkat hanya memerlukan akses yang cukup untuk kasus tertentu.
  • Cabut akses berlebihan ke informasi sensitif: Setelah pengguna diberikan akses ke aplikasi, ingatlah untuk mencabut hak istimewa tersebut ketika akses tidak lagi diperlukan.

Apa Kuncinya?

Layanan penyimpanan cloud telah menjadi pengubah permainan besar bagi organisasi untuk mengoptimalkan sumber daya, merampingkan operasi, menghemat waktu, dan mengambil beberapa tanggung jawab keamanan dari piring mereka.

Namun seperti yang terlihat dari serangan seperti ini, peretas mulai memanfaatkan infrastruktur cloud untuk membuat serangan yang lebih sulit dideteksi. File berbahaya dapat di-host di Microsoft OneDrive, Amazon AWS, atau layanan penyimpanan cloud lainnya.

Memahami vektor ancaman baru ini penting, tetapi bagian yang sulit adalah menempatkan kontrol untuk mendeteksi dan meresponsnya. Dan tampaknya bahkan para pemain dominan di bidang teknologi sedang berjuang dengan itu.