De Amerikaanse autoriteiten, alsmede die uit Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk, waarschuwen vandaag voor aanvallen op cloudomgevingen van bedrijven en overheden die het werk zouden zijn van de Russische geheime dienst SVR. Daarbij maken de aanvallers gebruik van service- en niet meer gebruikte accounts.
Volgens de diensten van de Five Eyes-landen heeft de SVR zijn tactieken, technieken en procedures aangepast op de beslissing van organisaties om naar de cloud te migreren. Wist de dienst eerst nog organisaties aan te vallen via kwetsbaarheden in on-premise netwerken, nu zijn clouddiensten het doelwit. Daarvoor moeten de aanvallers zich eerst bij de cloudprovider zien te authenticeren.
De waarschuwing is mede afkomstig van de Amerikaanse geheime dienst NSA en opsporingsdienst FBI. De diensten stellen dat de aanvallers via bruteforce-aanvallen toegang tot service-accounts van cloudomgevingen proberen te krijgen. Deze accounts worden niet door mensen gebruikt en zijn daardoor lastig via multifactorauthenticatie (MFA) te beschermen. Service-accounts hebben vaak ook hogere rechten. Door dergelijke accounts te compromitteren zijn verdere aanvallen mogelijk.
Bij aanvallen door de SVR is ook misbruik gemaakt van 'dormant accounts', zo laat de waarschuwing verder weten. Het gaat dan om accounts van gebruikers die niet meer voor de betreffende organisatie werken, maar nog steeds aanwezig zijn. De Five Eyes-diensten stellen dat bij sommige incidenten, waar getroffen organisaties een wachtwoordreset uitvoerden, de SVR op inactieve accounts inlogde om vervolgens voor dat account de reset uit te voeren. Tevens maken de aanvallers ook gebruik van gestolen cookies om toegang tot cloudaccounts te krijgen.
Om dergelijke aanvallen te voorkomen krijgen organisaties het advies om MFA voor accounts in te stellen en wanneer dit niet mogelijk is sterke wachtwoorden te gebruiken. Tevens moeten niet meer gebruikte gebruikers- en systeemaccounts worden uitgeschakeld. Verder moet voor accounts het principe van 'least privilege' worden gebruikt en is het nodig om de sessieduur van cookies zo kort mogelijk te houden.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.