A felhőalapú online tárolószolgáltatások arra is alkalmasak, hogy fájlokat osszon meg barátaival. Azonban nem minden online tárhelyre mutató link veszélyatelen, mivel egyre több bűnöző él vissza a népszerű felhőalapú fájlmegosztó szolgáltatásokkal, hogy rosszindulatú szoftverekre mutató linkeket terjesszen.
A támadók adathalász technikákat alkalmaznak, hogy rávegyék az áldozatokat rosszindulatú fájlok letöltésére. A Unit42 biztonsági kutatóinak nemrégiben készült jelentése bemutatja, hogy az ilyen linkek mennyire veszélyesek lehetnek. Jelentésük szerint a Cloaked Ursa (APT29) hackercsoport tagjai ilyen linkeket használtak a portugál és brazil nagykövetségek megtámadására 2022 májusában és júniusában.
A támadók egy speciálisan elkészített PDF-et alkalmaztak, amely elvileg a nagykövetségekkel tervezett időpontokhoz vezetett volna. A linkre kattintva azonban egy sor rosszindulatú művelet indult el, például a felhasználói adatok megszerzése és rosszindulatú programok letöltése a Google Drive-ról vagy a Dropboxról.
Sőt, a bűnözők az online tárhelyet arra használták, hogy ott parkoltassák az ellopott információkat. A Cloaked Ursa valószínűleg az orosz hírszerző szolgálat, az SVR ernyője alatt dolgozik, és a múltban - például a SolarWinds meghackelésénél - már felhívta magára a figyelmet. Azonban kevésbé jól szervezett hackercsoportok is használnak ilyen trükköket magánszemélyek megtámadására.
Chris Morgan, a digitális kockázatvédelmi megoldásokat kínáló Digital Shadows vezető kiberfenyegetettség-elemzője elmondta, hogy a megbízható felhőalapú tárolóplatformok rendkívül csábítóak a kiberfenyegetésel foglalkozó szereplők számára, és egyre népszerűbbek a "living-off-the-land" alapú technikák. Ezek az áldozat rendszerében már meglévő, natív, ott jelen lévő eszközöket használó támadások, mivel ezek használata elfedi a rosszindulatú tevékenységet, és segít a felderítés elkerülésében.
"A felhőalapú tárolási platformok a vállalati hálózatokban mindennaposak, a Dropboxon vagy a Google Drive-on keresztül megosztott anyagok valószínűleg nem keltenek indokolatlan gyanút. A felhőalapú tárolási megoldásokkal való visszaélés rendkívül gyakori, többek között az államilag támogatott és kiberbűnözői fenyegető csoportok által" - mondta Morgan.
A felhőalapú tárolási szolgáltatások kockázatának minimalizálása nagyrészt annak megértéséből ered, hogy milyen szolgáltatásokat használnak a hálózaton belül, és folyamatokat alakítanak ki a biztonságos használatra. Ez számszerűsítheti a használatukkal járó kockázatot a szakember véleménye szerint. Azt ajánlja, hogy a rendszergazdák dokumentálják, mely folyamatokat kell engedélyezni és melyeket kell tiltani, és állapítsák meg, milyen észlelési intézkedések vannak érvényben a visszaélések felismerésére.
"A hitelesítési ellenőrzések, például a VPN használata a felhő és a felhasználók közötti biztonságos, titkosított csatornák létrehozására, szintén nagyban segíthetnek abban, hogy minimálisra csökkentsék annak esélyét, hogy a felhőalapú tárolási szolgáltatásokkal a fenyegető szereplők visszaéljenek" - tette hozzá.
Andrew Hay, a LARES Consulting információbiztonsági tanácsadó cég COO-ja szerint a felhőalapú tárolás elterjedésének két legnagyobb mozgatórugója a költségek és az online tárolási szolgáltatások általános elérhetősége. "Egy új Google-fiók regisztrálása és a fájlok megosztása egyáltalán nem kerül semmibe. Emellett sok szervezet egyszerűen engedélyezi a hozzáférést a felhőalapú tárhelyszolgáltatókhoz, hogy ne zavarják az alkalmazottak munkáját" - mondta.
A jobb védelem érdekében a szervezeteknek meg kell határozniuk a felhőben tárolt tárhelyszolgáltatók jóváhagyott listáját, és meg kell tiltaniuk a hozzáférést mindenhez, ami nem szerepel a jóváhagyott listán. Hay szerint az is jó ötlet lenne, ha biztosítanának egy vállalati fájlmegosztó és tároló platformot, és azt megtennék a fájlok megosztásának jóváhagyott, szabványos eszközévé.
Az online tárolási szolgáltatásokon keresztül történő támadások veszélye "hullámzik és áramlik", mint sok más fenyegetésvektor. "Gyakran látjuk, hogy a fenyegetések szereplői a nem működő eszközökről olyasmire váltanak, ami korábban működött - és talán újra működni fog" - mondta Hay.
John Bambenek, a Netenrich biztonsági és műveletelemző SaaS-vállalat vezető fenyegetésvadásza szerint az online tárolási szolgáltatások azért csábító vektorok a kiberbűnözők számára, mert bármi felhasználható, ami megbízható és használatban van az áldozat szervezetében. "A bűnözők a kattintási arányon élnek és halnak. Az amerikai szervezetek nem ismernék fel vagy nem tekintenék normálisnak a QQ-t. Ha azonban a felhasználó a Google Drive-ot használja, akkor sokkal fogékonyabbak az azt érintő vagy arra hivatkozó támadásokra" - mondta.
A viselkedéselemzés kulcsfontosságú a fiókátvételek felderítésében, amelyek ennek egy részét észlelik, míg az e-mail szolgáltatások erős adathalászat elleni védelme szintén segít - ahelyett, hogy például az Office 365 bázisára támaszkodnának - mondta. Végül Bambenek szerint a felhasználókat ki kell képezni arra, hogy figyelmesek legyenek, hogy az ilyen jellegű kísérleteket észrevegyék és jelenteni tudják a biztonsági műveleti központnak.
"Ezek a támadások a szolgáltatások megbízhatóságának növekedésével párhuzamosan fokozódnak. Ez azért válik jövedelmezőbbé, mert a kiberbiztonság számos aspektusa, például a hálózati biztonság vagy az IDS nem áll rendelkezésre a felhőalapú erőforrások védelmére. A vállalati fiókok átvétele sokkal többet jelent most, hogy mindenki távolról jelentkezik be és fér hozzá a felhőalapú erőforrásaihoz" - jegyzete meg.
Bambenek azt jósolja, hogy a támadások tovább fognak fejlődni, ahogy a szervezeti informatikai stackek fejlődnek, rámutatva, hogy 10 évvel ezelőtt a szervezetek adatvesztési vektorként blokkolhatták a felhőalapú tárolókat, de ma már ezek megbízható erőforrások. "Alapvetően minden nyitott és látható a támadók számára, akik szó szerint ugyanazokon a kiállításokon vesznek részt, mint mi, hogy lássák, hogyan változik az IT-térség" - mondta