VS beschuldigt Russische SVR van cloudaanvallen via service-accounts
De Amerikaanse autoriteiten, alsmede die uit Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk, waarschuwen vandaag voor aanvallen op cloudomgevingen van bedrijven en overheden die het werk zouden zijn van de Russische geheime dienst SVR. Daarbij maken de aanvallers gebruik van service- en niet meer gebruikte accounts.
Volgens de diensten van de Five Eyes-landen heeft de SVR zijn tactieken, technieken en procedures aangepast op de beslissing van organisaties om naar de cloud te migreren. Wist de dienst eerst nog organisaties aan te vallen via kwetsbaarheden in on-premise netwerken, nu zijn clouddiensten het doelwit. Daarvoor moeten de aanvallers zich eerst bij de cloudprovider zien te authenticeren.
De waarschuwing is mede afkomstig van de Amerikaanse geheime dienst NSA en opsporingsdienst FBI. De diensten stellen dat de aanvallers via bruteforce-aanvallen toegang tot service-accounts van cloudomgevingen proberen te krijgen. Deze accounts worden niet door mensen gebruikt en zijn daardoor lastig via multifactorauthenticatie (MFA) te beschermen. Service-accounts hebben vaak ook hogere rechten. Door dergelijke accounts te compromitteren zijn verdere aanvallen mogelijk.
Bij aanvallen door de SVR is ook misbruik gemaakt van 'dormant accounts', zo laat de waarschuwing verder weten. Het gaat dan om accounts van gebruikers die niet meer voor de betreffende organisatie werken, maar nog steeds aanwezig zijn. De Five Eyes-diensten stellen dat bij sommige incidenten, waar getroffen organisaties een wachtwoordreset uitvoerden, de SVR op inactieve accounts inlogde om vervolgens voor dat account de reset uit te voeren. Tevens maken de aanvallers ook gebruik van gestolen cookies om toegang tot cloudaccounts te krijgen.
Om dergelijke aanvallen te voorkomen krijgen organisaties het advies om MFA voor accounts in te stellen en wanneer dit niet mogelijk is sterke wachtwoorden te gebruiken. Tevens moeten niet meer gebruikte gebruikers- en systeemaccounts worden uitgeschakeld. Verder moet voor accounts het principe van 'least privilege' worden gebruikt en is het nodig om de sessieduur van cookies zo kort mogelijk te houden.
Ik gebruik zelf altijd offline (eenmalig schrijfbaar) M-Discs (Milleniata Disc) voor mijn belangrijkste zaken, dan heb ik geen onderhoudskosten en geen bitrot.
Ik heb een spindel van in totaal 5TB met van die 100GB schijfjes. (50 stuks)
De minder belangrijke zalen zet ik op een SSD en maak daar eens in de zoveel tijd een backup van. (Vereist onderhoudskosten)
Alles is uiteraard versleuteld met een extreem lange key. (Ik gebruik het immers als cold storage/hardcopy, niet om dagelijks toegang toe te zoeken)
Ook de AIVD heeft de M-Disc aangenomen voor de belangrijkste zaken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
