Russische staatshackers hebben hun aandacht verlegd naar aanvallen op de cloud en de infrastructuur daarachter. Ze richten zich op het stelen van tokens die toegang geven tot deze grote decentrale netwerken. Hiervoor waarschuwt het Britse National Cyber Security Centre (NCSC) en zijn Five Eyes-partners, een groep van samenwerkende cybersecurityorganisaties uit de Angelsaksische landen.
De afgelopen twaalf maanden is de werkwijze veranderd van Russische hackers-groepen zoals APT29 (Cozy Bear) die nauw samenwerken met de Russische buitenlandse spionagedienst SVR. Ze kapen de inloggegevens van iemands account en installeren hun eigen apparaten in de cloud-omgeving van het slachtoffer. Ook kraken ze een systeemaccount door alle mogelijke wachtwoord-combinaties te proberen. Nog effectiever is ‘password spraying’ waarbij aanvallers zich op meerdere accounts richten met een beperkte set veel voorkomende wachtwoorden. Zodra de initiële toegang is verkregen, is de actor in staat zeer geavanceerde capaciteiten in te zetten. Traditionele aanvalsmethoden zoals het misbruiken van kwetsbaarheden in software raken meer op de achtergrond.
Denktanks
De Russen doen dit omdat veel Westerse denktanks en doelwitten in de gezondheidszorg en energiesector zijn overgestapt op een cloud-gebaseerde infrastructuur. Recent valt een uitbreiding van de cloud-aanvallen waar te nemen naar de luchtvaart, het onderwijs, de wetshandhaving, gemeenten, provincies, financiële instellingen van de overheid en militaire organisaties.
De Russische geheime dienst SVR zat achter het compromitteren van de toeleveringsketen van SolarWinds-software in 2020. Ook werden met succes organisaties aangevallen die betrokken waren bij de ontwikkeling van het Covid-19-vaccin.
Het rapport van het Britse NCSC geeft ook een overzicht van de maatregelen ter bescherming tegen aanvallers.
