image

VS beschuldigt Russische SVR van cloudaanvallen via service-accounts

maandag 26 februari 2024, 13:52 door Redactie, 2 reacties

De Amerikaanse autoriteiten, alsmede die uit Australië, Canada, Nieuw-Zeeland en het Verenigd Koninkrijk, waarschuwen vandaag voor aanvallen op cloudomgevingen van bedrijven en overheden die het werk zouden zijn van de Russische geheime dienst SVR. Daarbij maken de aanvallers gebruik van service- en niet meer gebruikte accounts.

Volgens de diensten van de Five Eyes-landen heeft de SVR zijn tactieken, technieken en procedures aangepast op de beslissing van organisaties om naar de cloud te migreren. Wist de dienst eerst nog organisaties aan te vallen via kwetsbaarheden in on-premise netwerken, nu zijn clouddiensten het doelwit. Daarvoor moeten de aanvallers zich eerst bij de cloudprovider zien te authenticeren.

De waarschuwing is mede afkomstig van de Amerikaanse geheime dienst NSA en opsporingsdienst FBI. De diensten stellen dat de aanvallers via bruteforce-aanvallen toegang tot service-accounts van cloudomgevingen proberen te krijgen. Deze accounts worden niet door mensen gebruikt en zijn daardoor lastig via multifactorauthenticatie (MFA) te beschermen. Service-accounts hebben vaak ook hogere rechten. Door dergelijke accounts te compromitteren zijn verdere aanvallen mogelijk.

Bij aanvallen door de SVR is ook misbruik gemaakt van 'dormant accounts', zo laat de waarschuwing verder weten. Het gaat dan om accounts van gebruikers die niet meer voor de betreffende organisatie werken, maar nog steeds aanwezig zijn. De Five Eyes-diensten stellen dat bij sommige incidenten, waar getroffen organisaties een wachtwoordreset uitvoerden, de SVR op inactieve accounts inlogde om vervolgens voor dat account de reset uit te voeren. Tevens maken de aanvallers ook gebruik van gestolen cookies om toegang tot cloudaccounts te krijgen.

Om dergelijke aanvallen te voorkomen krijgen organisaties het advies om MFA voor accounts in te stellen en wanneer dit niet mogelijk is sterke wachtwoorden te gebruiken. Tevens moeten niet meer gebruikte gebruikers- en systeemaccounts worden uitgeschakeld. Verder moet voor accounts het principe van 'least privilege' worden gebruikt en is het nodig om de sessieduur van cookies zo kort mogelijk te houden.

Reacties (2)
26-02-2024, 16:04 door Anoniem
Dat er nog zoveel mensen belangrijke zaken in de cloud opslaan verwonderd me eerlijk gezegd wel.
Ik gebruik zelf altijd offline (eenmalig schrijfbaar) M-Discs (Milleniata Disc) voor mijn belangrijkste zaken, dan heb ik geen onderhoudskosten en geen bitrot.
Ik heb een spindel van in totaal 5TB met van die 100GB schijfjes. (50 stuks)
De minder belangrijke zalen zet ik op een SSD en maak daar eens in de zoveel tijd een backup van. (Vereist onderhoudskosten)
Alles is uiteraard versleuteld met een extreem lange key. (Ik gebruik het immers als cold storage/hardcopy, niet om dagelijks toegang toe te zoeken)
Ook de AIVD heeft de M-Disc aangenomen voor de belangrijkste zaken.
26-02-2024, 18:13 door Anoniem
Ik vind het zelf onbegrijpelijk dat die Russen nog steeds windows gebruiken. Want je verwacht toch wel dat die Amerikanen lekker kunnen meekijken dankzij een NSAkey
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.