"মিডনাইট ব্লিজার্ড", রাশিয়ান গোয়েন্দা পরিষেবা (SVR) এবং SolarWinds এবং মাইক্রোসফ্ট এবং HPE-এর মতো সংস্থাগুলির উপর হামলার পিছনে সত্তার সাথে সম্বন্ধযুক্ত হুমকি গোষ্ঠী, লক্ষ্য সংস্থাগুলিতে ক্লাউড পরিবেশে অ্যাক্সেস করার জন্য স্বয়ংক্রিয় ক্লাউড পরিষেবা অ্যাকাউন্ট এবং সুপ্ত অ্যাকাউন্টগুলি ব্যবহার করছে৷
আক্রমণগুলি হুমকি অভিনেতার (এপিটি 29, কোজি বিয়ার এবং ডিউকস নামেও পরিচিত) কৌশলগুলির একটি উল্লেখযোগ্য পরিবর্তন চিহ্নিত করে কারণ এটি ঐতিহ্যগতভাবে লক্ষ্যবস্তু করা সেক্টরগুলিতে সংস্থাগুলির দ্বারা ক্লাউড পরিষেবাগুলির ক্রমবর্ধমান গ্রহণের সাথে খাপ খায়৷
একটি উল্লেখযোগ্য স্থানান্তর
সোমবার এক পরামর্শে যুক্তরাজ্যের ড ন্যাশনাল সাইবার সিকিউরিটি সেন্টার (NCSC)সহযোগিতায় ইউএস সাইবার সিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (সিআইএসএ) এবং অন্যান্য দেশে তাদের প্রতিপক্ষরা, মিডনাইট ব্লিজার্ডের কৌশলের পরিবর্তন এবং হুমকি অভিনেতাকে তাদের ক্লাউড পরিবেশে প্রাথমিক অ্যাক্সেস পেতে বাধা দেওয়ার জন্য সংস্থাগুলির প্রয়োজনীয়তার বিষয়ে সতর্ক করেছিল।
"যে সংস্থাগুলি ক্লাউড অবকাঠামোতে চলে গেছে তাদের জন্য, SVR-এর মতো একজন অভিনেতার বিরুদ্ধে প্রতিরক্ষার প্রথম লাইন হওয়া উচিত প্রাথমিক অ্যাক্সেসের জন্য SVR-এর TTPs থেকে রক্ষা করা," উপদেষ্টা উল্লেখ করেছে, হুমকির বিরুদ্ধে প্রশমনের সুপারিশ করার সময়।
মার্কিন যুক্তরাষ্ট্র এবং অন্যরা মিডনাইট ব্লিজার্ডকে রাশিয়ার এসভিআর-এর সাথে উচ্চ মাত্রার আস্থার সাথে বেঁধেছে, একটি হুমকি অভিনেতা যেটি কমপক্ষে 2009 সাল থেকে সক্রিয় ছিল। প্রাথমিকভাবে এই দলটি সরকারী সংস্থা, থিঙ্ক ট্যাঙ্ক এবং সংস্থাগুলির বিরুদ্ধে গোয়েন্দা তথ্য সংগ্রহের আক্রমণের জন্য মনোযোগ আকর্ষণ করেছিল। স্বাস্থ্যসেবা এবং শক্তিতে। সাম্প্রতিক বছরগুলিতে, এবং বিশেষ করে এর সোলারউইন্ডস আক্রমণের পর থেকে, মিডনাইট ব্লিজার্ড সফ্টওয়্যার সরবরাহ শৃঙ্খল, স্বাস্থ্যসেবা গবেষণা, আইন প্রয়োগকারী, বিমান চালনা এবং সামরিক শিল্প সহ আরও অনেক সংস্থাকে লক্ষ্যবস্তু করেছে। সম্প্রতি মাইক্রোসফ্ট এবং এইচপিই হুমকি অভিনেতাকে দায়ী করেছে তাদের নিজ নিজ কর্পোরেট ইমেল পরিবেশে প্রবেশ করার জন্য এবং সিনিয়র নেতৃত্ব এবং মূল কর্মীদের ইমেল অ্যাক্সেস করার জন্য।
এর আগের অনেক আক্রমণে, মিডনাইট ব্লিজার্ড একটি টার্গেট প্রতিষ্ঠানের অন-প্রিমিসেস আইটি অবকাঠামোতে প্রাথমিক অ্যাক্সেস পেতে সফ্টওয়্যার দুর্বলতা এবং অন্যান্য নেটওয়ার্ক দুর্বলতাকে কাজে লাগিয়েছে। কিন্তু এর অনেকগুলি লক্ষ্য ক্লাউড-নেটিভ এবং ক্লাউড-হোস্টেড পরিবেশে স্থানান্তরিত হওয়ার সাথে, হুমকি অভিনেতাকে পিভট এবং ক্লাউড পরিষেবাগুলিকেও লক্ষ্য করতে বাধ্য করা হয়েছে। "অধিকাংশ শিকারের ক্লাউড হোস্টেড নেটওয়ার্ক অ্যাক্সেস করার জন্য, অভিনেতাদের প্রথমে সফলভাবে ক্লাউড প্রদানকারীর কাছে প্রমাণীকরণ করতে হবে," NCSC বলেছে।
টার্গেটিং পরিষেবা এবং সুপ্ত অ্যাকাউন্ট
একটি সাধারণ কৌশল যা মিডনাইট ব্লিজার্ড সেই লক্ষ্য অর্জনের জন্য নিযুক্ত করেছে তা হল ক্লাউড পরিষেবা অ্যাকাউন্টগুলিতে অ্যাক্সেস পেতে ব্রুট-ফোর্স অনুমান এবং পাসওয়ার্ড স্প্রে করার আক্রমণ ব্যবহার করা। ক্লাউড অ্যাপ্লিকেশন এবং পরিষেবাগুলি পরিচালনার জন্য এগুলি সাধারণত স্বয়ংক্রিয়, অ-মানব অ্যাকাউন্ট। এই ধরনের অ্যাকাউন্টগুলি সহজে দ্বি-ফ্যাক্টর প্রমাণীকরণ প্রক্রিয়ার মাধ্যমে সুরক্ষিত করা যায় না এবং তাই সফল আপস এবং টেকওভারের জন্য বেশি সংবেদনশীল, NCSC বলেছে।
তবে আরেকটি সমস্যা রয়েছে যা হুমকি অভিনেতাদের এই অ্যাকাউন্টগুলিকে বিশেষভাবে সমস্যাযুক্ত করে তোলে। "এই অ্যাকাউন্টগুলিতে অ্যাক্সেস লাভ করা হুমকি অভিনেতাদের একটি নেটওয়ার্কে বিশেষ সুবিধাপ্রাপ্ত প্রাথমিক অ্যাক্সেস প্রদান করে, আরও ক্রিয়াকলাপ শুরু করার জন্য," NCSC সতর্ক করেছে৷ এই ধরনের অনেক আক্রমণে, হুমকিদাতারা তাদের পাসওয়ার্ড স্প্রে আক্রমণ শুরু করার জন্য বৈধ আবাসিক আইপি ঠিকানাগুলি ব্যবহার করেছিল, যা ডিফেন্ডারদের জন্য এটি কী ছিল তার কার্যকলাপ সনাক্ত করা কঠিন করে তোলে।
আরেকটি কৌশল যা মিডনাইট ব্লিজার্ড একটি টার্গেট ক্লাউড পরিবেশে প্রাথমিক অ্যাক্সেস পাওয়ার জন্য ব্যবহার করেছে তা হল ব্যবহারকারীদের অন্তর্গত নিষ্ক্রিয় অ্যাকাউন্টগুলিকে লিভারেজ করা যারা হয়তো আর কোনও ভিকটিম সংস্থায় কাজ করছেন না, কিন্তু যাদের অ্যাকাউন্ট সিস্টেমে থাকতে পারে, পরামর্শে উল্লেখ করা হয়েছে। কখনও কখনও, হুমকি অভিনেতা এমন একটি নেটওয়ার্কে অ্যাক্সেস ফিরে পেয়েছে যেখান থেকে নিষ্ক্রিয় অ্যাকাউন্টগুলিতে লগ ইন করে এবং পাসওয়ার্ড পুনরায় সেট করার নির্দেশাবলী অনুসরণ করে এটি বুট আউট হয়ে থাকতে পারে।
প্রমাণীকরণ টোকেন অপব্যবহার
অন্যান্য কৌশল যা মিডনাইট ব্লিজার্ড প্রাথমিক ক্লাউড অ্যাক্সেসের জন্য ব্যবহার করেছে তা ব্যবহার করা অন্তর্ভুক্ত অবৈধভাবে OAuth টোকেন প্রাপ্ত ভিকটিম অ্যাকাউন্ট অ্যাক্সেস করতে — এবং অধ্যবসায় বজায় রাখতে — পাসওয়ার্ডের প্রয়োজন ছাড়াই, সেইসাথে তথাকথিত ব্যবহার করে এমএফএ বোমাবাজি বা এমএফএ- ক্লান্তি আক্রমণ শিকার পেতে তাদের একটি লক্ষ্য অ্যাকাউন্টে প্রমাণীকরণ. একবার হুমকি অভিনেতা ক্লাউড পরিবেশে অ্যাক্সেস পেয়ে গেলে, তারা প্রায়শই ক্রমাগত অ্যাক্সেস পেতে তাদের নিজস্ব ডিভাইস নিবন্ধন করে।
হুমকি প্রশমিত করার জন্য, সংস্থাগুলিকে পাসওয়ার্ড আপসের প্রভাব কমাতে যেখানে তারা করতে পারে মাল্টিফ্যাক্টর প্রমাণীকরণ ব্যবহার করা উচিত, NCSC বলেছে। এমন পরিস্থিতিতে যেখানে দ্বিতীয় প্রমাণীকরণ ফ্যাক্টর ব্যবহার করা কঠিন হতে পারে, সংস্থাগুলির পরিষেবা অ্যাকাউন্টগুলিকে সুরক্ষিত করার জন্য শক্তিশালী পাসওয়ার্ড তৈরি করা উচিত। NCSC সংস্থাগুলিকে বাস্তবায়ন করার সুপারিশ করেছে কমপক্ষে বিশেষাধিকারের নীতি পরিষেবা অ্যাকাউন্টগুলিকে সীমিত করার জন্য যে আক্রমণকারী সম্ভাব্যভাবে একটি অপব্যবহার করে কী করতে পারে৷
উপরন্তু, উপদেষ্টা একটি চুরি করা টোকেন দিয়ে হুমকি অভিনেতা যা করতে পারে তা সীমিত করার জন্য প্রমাণীকরণ টোকেনগুলির সেশনের জীবনকালকে "ব্যবহারিক হিসাবে সংক্ষিপ্ত" হিসাবে রাখার পক্ষে এবং ডিভাইস তালিকাভুক্তি নীতিগুলি ক্লাউড পরিবেশে অননুমোদিত ডিভাইসগুলির নিবন্ধনের অনুমতি দেয় না তা নিশ্চিত করার পরামর্শ দিয়েছে৷
"ক্যানারি পরিষেবা অ্যাকাউন্টগুলি তৈরি করা উচিত যা বৈধ পরিষেবা অ্যাকাউন্ট বলে মনে হয় তবে বৈধ পরিষেবাগুলির দ্বারা কখনই ব্যবহার করা হয় না," পরামর্শে বলা হয়েছে। এই ধরনের অ্যাকাউন্টের অপব্যবহার অননুমোদিত অ্যাক্সেসের একটি স্পষ্ট চিহ্ন যা অবিলম্বে তদন্তের প্রয়োজন।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/cloud-security/russia-s-midnight-blizzard-targeting-service-accounts-for-initial-cloud-access
